|
Log-Analyse und Auswertung: Howdecrypt VirusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.07.2014, 11:45 | #1 |
| Howdecrypt Virus Hallo zusammen, mein Computer ist verseucht mit dem Howdecrypt Virus. Meine Logdateien als Anhang. Kann mir bitte jemand helfen!? Besten Dank!!! MBAM: Malwarebytes Anti-Malware Malwarebytes | Free Anti-Malware & Internet Security Software Suchlauf Datum: 26.07.2014 Suchlauf-Zeit: 11:08:35 Logdatei: mbam.txt Administrator: Ja Version: 2.00.2.1012 Malware Datenbank: v2014.07.26.04 Rootkit Datenbank: v2014.07.17.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Self-protection: Deaktiviert Betriebssystem: Windows XP Service Pack 3 CPU: x86 Dateisystem: NTFS Benutzer: Eric Fürst Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 443063 Verstrichene Zeit: 13 Min, 18 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristics: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (No malicious items detected) Module: 0 (No malicious items detected) Registrierungsschlüssel: 0 (No malicious items detected) Registrierungswerte: 0 (No malicious items detected) Registrierungsdaten: 0 (No malicious items detected) Ordner: 0 (No malicious items detected) Dateien: 0 (No malicious items detected) Physische Sektoren: 0 (No malicious items detected) (end) ADWCLEANERAdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v3.216 - Bericht erstellt am 26/07/2014 um 11:35:04 # Aktualisiert 17/07/2014 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzername : Eric Fürst - ERIC-43F538040C # Gestartet von : C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2SLS64EB\adwcleaner_3.216[1].exe # Option : Löschen ***** [ Dienste ] ***** ***** [ Dateien / Ordner ] ***** Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\speedypc software Ordner Gelöscht : C:\Programme\Conduit Ordner Gelöscht : C:\Programme\Search Results Toolbar Ordner Gelöscht : C:\Programme\speedypc software Ordner Gelöscht : C:\Programme\TelevisionFanaticEI Ordner Gelöscht : C:\Programme\BittorrentBar_DE Ordner Gelöscht : C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Conduit Ordner Gelöscht : C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\PackageAware Ordner Gelöscht : C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\BittorrentBar_DE Ordner Gelöscht : C:\Dokumente und Einstellungen\Eric Fürst\Anwendungsdaten\DriverCure Ordner Gelöscht : C:\Dokumente und Einstellungen\Eric Fürst\Anwendungsdaten\registry mechanic Datei Gelöscht : C:\END ***** [ Verknüpfungen ] ***** ***** [ Registrierungsdatenbank ] ***** Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\hempmfkijmahkaddljkmchcmjbojoedl Schlüssel Gelöscht : HKCU\Toolbar Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\protector_dll.protectorbho Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1 Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@ei.TelevisionFanatic.com/Plugin Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2849855 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{BCE90EC8-E22B-4937-BC8A-DABBB43D963E} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{4084D718-3644-4504-B828-BB054729E39C} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2318C2B1-4965-11D4-9B18-009027A5CD4F} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BCE90EC8-E22B-4937-BC8A-DABBB43D963E} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{BCE90EC8-E22B-4937-BC8A-DABBB43D963E} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DA2441DF-8566-4A68-8168-E4182576D489} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8BA82EC3-561D-4D7C-BFE2-2CFBD712D6DA} Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990} Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{2318C2B1-4965-11D4-9B18-009027A5CD4F}] Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{2318C2B1-4965-11D4-9B18-009027A5CD4F}] Schlüssel Gelöscht : HKCU\Software\Conduit Schlüssel Gelöscht : HKCU\Software\ilivid Schlüssel Gelöscht : HKCU\Software\SmartBar Schlüssel Gelöscht : HKCU\Software\Somoto Schlüssel Gelöscht : HKCU\Software\speedypc software Schlüssel Gelöscht : HKCU\Software\BittorrentBar_DE Schlüssel Gelöscht : HKLM\Software\Conduit Schlüssel Gelöscht : HKLM\Software\iLividSRTB Schlüssel Gelöscht : HKLM\Software\speedypc software Schlüssel Gelöscht : HKLM\Software\TelevisionFanaticEI Schlüssel Gelöscht : HKLM\Software\BittorrentBar_DE Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Search Results Toolbar Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BittorrentBar_DE Toolbar Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\FilesFrog Update Checker Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SearchProtect Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BittorrentBar_DE Toolbar ***** [ Browser ] ***** -\\ Internet Explorer v8.0.6001.18702 -\\ Google Chrome v [ Datei : C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\preferences ] ************************* AdwCleaner[R1].txt - [5122 octets] - [26/07/2014 11:32:55] AdwCleaner[S0].txt - [5043 octets] - [26/07/2014 11:35:04] ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5103 octets] ########## JRT ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.1.4 (04.06.2014:1) OS: Microsoft Windows XP x86 Ran by Eric Frst on 26.07.2014 at 11:42:22.17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL ~~~ Registry Keys Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9B3B40FA-E24E-4864-ADB8-168EAAB93ACE} ~~~ Files ~~~ Folders ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 26.07.2014 at 11:45:10.26 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ COMBOFIX Combofix Logfile: Code:
ATTFilter ComboFix 14-07-25.01 - Eric Fürst 26.07.2014 12:05:14.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.2047.1520 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Eric F³rst\Eigene Dateien\Downloads\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP c:\windows\system\WINSPOOL.DRV c:\windows\system32\AegisI5Installer.exe c:\windows\system32\SET1FF.tmp c:\windows\system32\SET203.tmp c:\windows\system32\SET204.tmp c:\windows\system32\SET20B.tmp c:\windows\system32\SET26A.tmp c:\windows\system32\SET26B.tmp c:\windows\system32\SET26C.tmp c:\windows\system32\SET270.tmp c:\windows\system32\SET271.tmp c:\windows\system32\SET276.tmp c:\windows\system32\SET278.tmp c:\windows\wininit.ini . Infizierte Kopie von c:\windows\system32\msgsvc.dll wurde gefunden und desinfiziert Kopie von - c:\system volume information\_restore{26475AFD-03A5-4BC4-A27D-D1309A422D76}\RP10\A0001303.rbf wurde wiederhergestellt . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_SYSHOST32 . . ((((((((((((((((((((((( Dateien erstellt von 2014-06-26 bis 2014-07-26 )))))))))))))))))))))))))))))) . . 2014-07-26 09:42 . 2014-07-26 09:42 -------- d-----w- c:\windows\ERUNT 2014-07-26 09:33 . 2010-08-30 06:34 536576 ----a-w- c:\windows\system32\sqlite3.dll 2014-07-26 09:32 . 2014-07-26 09:35 -------- d-----w- C:\AdwCleaner 2014-07-26 09:06 . 2014-07-26 09:06 -------- d-----w- c:\programme\ Malwarebytes Anti-Malware 2014-07-26 09:06 . 2014-05-12 05:26 53208 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys 2014-07-26 09:06 . 2014-05-12 05:25 23256 ----a-w- c:\windows\system32\drivers\mbam.sys . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2014-07-26 09:25 . 2012-03-31 08:55 699056 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2014-07-26 09:25 . 2011-12-28 11:46 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2014-07-26 09:07 . 2014-04-09 15:52 110296 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-12-28 39408] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2011-12-05 20065384] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-11-21 959904] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2013-09-13 59720] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2013-11-01 152392] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440] "CDAServer"="c:\programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe" [2012-02-20 344064] "TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2013-07-20 295512] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2013-05-01 421888] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2014-03-09 689744] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 0 (0x0) "HideSCAHealth"= 0 (0x0) . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 0 (0x0) . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] . [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon] "shell"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe" . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UwjahfaPtiwf.dll . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\WINDOWS\\twain_32\\Samsung\\CLX3300\\SCNSearch\\USDAgent.exe"= "c:\\Programme\\Samsung\\Easy Document Creator\\USDAgent.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\IDS.Application.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\OrderSupplies.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\IDSAlert.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\CDAS2PC\\CDAS2PC.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [22.02.2013 16:53 37352] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.01.2014 18:20 440400] R2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\programme\RealNetworks\RealDownloader\rndlresolversvc.exe [16.04.2013 03:07 39056] R2 SSPORT;SSPORT;c:\windows\system32\drivers\SSPORT.sys [15.02.2012 15:16 5120] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27.12.2011 22:42 1691480] S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys --> c:\windows\system32\DRIVERS\RTL8192su.sys [?] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - WS2IFSL . Inhalt des "geplante Tasks" Ordners . 2014-07-26 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 09:25] . 2014-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57] . 2014-07-26 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job - c:\windows\system32\xp_eos.exe [2014-05-28 23:28] . 2014-07-26 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job - c:\windows\system32\xp_eos.exe [2014-05-28 23:28] . 2014-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-12-28 11:43] . 2014-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-12-28 11:43] . 2014-07-26 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-01-20 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-26 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-01-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-26 c:\windows\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.0.254 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . Toolbar-10 - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2014-07-26 12:13 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(1348) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\windows\ATKKBService.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\wscntfy.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe . ************************************************************************** . Zeit der Fertigstellung: 2014-07-26 12:15:04 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2014-07-26 10:14 . Vor Suchlauf: 11 Verzeichnis(se), 158'778'769'408 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 159'866'216'448 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer /TUTag=GOOZ0R /Kernel=TUKernel.exe multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /usepmtimer /TUTag=GOOZ0R-BAK . - - End Of File - - AA29058ADCE63D150258E456B0AC616E 72B8CE41AF0DE751C946802B3ED844B4 FRST FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-07-2014 Ran by Eric Fürst (administrator) on ERIC-43F538040C on 26-07-2014 12:28:23 Running from C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KWKQ0BQ8 Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: Deutsch (Deutschland) Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (If an entry is included in the fixlist, the process will be closed. The file will not be moved.) (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Apple Inc.) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ASUSTeK COMPUTER INC.) C:\WINDOWS\ATKKBService.exe (Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe () C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE (Apple Inc.) C:\Programme\iTunes\iTunesHelper.exe (Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe () C:\Programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe (RealNetworks, Inc.) C:\Programme\Real\RealPlayer\Update\realsched.exe (Google Inc.) C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Apple Inc.) C:\Programme\iPod\bin\iPodService.exe (ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KWKQ0BQ8\FRST[1].exe (Avira Operations GmbH & Co. KG) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\SELFUPDATE\update.exe (Avira Operations GmbH & Co. KG) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\SELFUPDATE\updrgui.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe ==================== Registry (Whitelisted) ================== (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.) Winlogon\Notify\AtiExtEvent: C:\WINDOWS\system32\Ati2evxx.dll (ATI Technologies Inc.) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-19\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-20\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Run: [swg] => C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2011-12-28] (Google Inc.) HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [NoInstrumentation] 1 HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UwjahfaPtiwf.dll BootExecute: autocheck autochk * sdnclean.exe ==================== Internet (Whitelisted) ==================== (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.) HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader) BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) BHO: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) BHO: Google Toolbar Notifier BHO -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> C:\Programme\Google\GoogleToolbarNotifier\5.7.9012.1008\swg.dll (Google Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1325015716157 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) ShellExecuteHooks: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [304128 2009-05-24] (Microsoft Corporation) Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 FireFox: ======== FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1207148.dll (Adobe Systems, Inc.) FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF Plugin: @microsoft.com/WPF,version=3.5 - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @real.com/nppl3260;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer) FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-12-27] FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2012-02-21] FF HKLM\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF Extension: RealDownloader - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-07-20] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION CHR Extension: (RealDownloader) - C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2013-03-11] CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-04-16] ========================== Services (Whitelisted) ================= (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [55624 2013-09-07] (Apple Inc.) S2 ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [593920 2010-02-10] () [File not signed] R2 ATKKeyboardService; C:\WINDOWS\ATKKBService.exe [258560 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [194032 2012-08-23] (Google) S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [69632 2005-04-04] (Macrovision Corporation) [File not signed] R3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553288 2013-11-02] (Apple Inc.) R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2012-02-21] (Sun Microsystems, Inc.) S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) R2 RealNetworks Downloader Resolver Service; C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation) ==================== Drivers (Whitelisted) ==================== (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) S3 Ambfilt; C:\WINDOWS\System32\drivers\Ambfilt.sys [1691480 2009-11-18] (Creative) R1 AmdK8; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [43008 2005-03-09] (Advanced Micro Devices) S1 AmdPPM; C:\WINDOWS\System32\DRIVERS\AmdPPM.sys [33792 2007-04-16] (Advanced Micro Devices) R3 asusgsb; C:\WINDOWS\System32\drivers\asusgsb.sys [12416 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] R1 asuskbnt; C:\WINDOWS\System32\drivers\atkkbnt.sys [11136 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] R4 atidgllk; C:\WINDOWS\atidgllk.sys [5376 2007-09-13] (Overclocking Tool) [File not signed] R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [97648 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [136216 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-26] (Avira Operations GmbH & Co. KG) S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation) R1 EIO; C:\WINDOWS\system32\drivers\EIO.sys [12288 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] S3 HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [51024 2003-03-09] (HP) S3 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [16080 2003-03-09] (HP) S3 HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [21456 2003-03-09] (HP) R3 irsir; C:\WINDOWS\System32\DRIVERS\irsir.sys [18688 2001-08-17] (Microsoft Corporation) S3 Monfilt; C:\WINDOWS\System32\drivers\Monfilt.sys [1395800 2009-11-18] (Creative Technology Ltd.) S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation) S3 NuidFltr; C:\WINDOWS\System32\DRIVERS\NuidFltr.sys [14736 2009-05-09] (Microsoft Corporation) R3 NVENETFD; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [52736 2006-03-22] (NVIDIA Corporation) R3 nvnetbus; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [18944 2006-03-22] (NVIDIA Corporation) R3 Rasirda; C:\WINDOWS\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation) S3 rt2870; C:\WINDOWS\System32\DRIVERS\Drt2870.sys [829152 2010-05-06] (Ralink Technology, Corp.) S3 SONYPVU1; C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [7552 2001-08-17] (Sony Corporation) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-12-18] (Avira GmbH) R2 SSPORT; C:\WINDOWS\system32\Drivers\SSPORT.sys [5120 2012-02-15] (Samsung Electronics) [File not signed] S3 USBAAPL; C:\WINDOWS\System32\Drivers\usbaapl.sys [43520 2012-02-15] (Apple, Inc.) [File not signed] R3 Video3D; C:\WINDOWS\System32\Drivers\Video3D32.sys [10752 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; No ImagePath S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] U3 TrueSight; \??\C:\WINDOWS\system32\TrueSight.sys [X] ==================== NetSvcs (Whitelisted) =================== (If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.) ==================== One Month Created Files and Folders ======== (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-26 12:24 - 2014-07-26 12:24 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\2. Test 2014-07-26 12:23 - 2014-07-26 12:24 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\1. Test 2014-07-26 12:15 - 2014-07-26 12:28 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-26 12:15 - 2014-07-26 12:15 - 00012445 _____ () C:\ComboFix.txt 2014-07-26 12:15 - 2014-07-26 12:15 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-26 12:15 - 2014-07-26 12:15 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-28 18:06 - 00000413 _____ () C:\Boot.bak 2014-07-26 12:03 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr 2014-07-26 12:00 - 2014-07-26 12:15 - 00000000 ____D () C:\Qoobox 2014-07-26 12:00 - 2014-07-26 12:15 - 00000000 ____D () C:\ComboFix 2014-07-26 12:00 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe 2014-07-26 12:00 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe 2014-07-26 12:00 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe 2014-07-26 11:58 - 2014-07-26 12:13 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:33 - 2010-08-30 08:34 - 00536576 _____ (SQLite Development Team) C:\WINDOWS\system32\sqlite3.dll 2014-07-26 11:32 - 2014-07-26 11:35 - 00000000 ____D () C:\AdwCleaner 2014-07-26 11:06 - 2014-07-26 11:06 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-26 11:06 - 2014-07-26 11:06 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-07-26 11:06 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-07-26 11:06 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-07-26 10:52 - 2014-07-26 12:17 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-26 10:52 - 2014-07-26 11:27 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job ==================== One Month Modified Files and Folders ======= (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-26 12:28 - 2014-07-26 12:15 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-26 12:28 - 2014-01-30 23:17 - 00000000 ____D () C:\FRST 2014-07-26 12:27 - 2011-12-27 22:38 - 00000428 ____H () C:\WINDOWS\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job 2014-07-26 12:25 - 2014-01-28 18:20 - 00097648 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avgntflt.sys 2014-07-26 12:25 - 2013-02-22 16:53 - 00136216 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avipbb.sys 2014-07-26 12:25 - 2012-03-31 10:56 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2014-07-26 12:24 - 2014-07-26 12:24 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\2. Test 2014-07-26 12:24 - 2014-07-26 12:23 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\1. Test 2014-07-26 12:19 - 2011-12-27 21:26 - 01997078 _____ () C:\WINDOWS\WindowsUpdate.log 2014-07-26 12:19 - 2011-12-27 21:20 - 00000159 _____ () C:\WINDOWS\wiadebug.log 2014-07-26 12:19 - 2002-12-31 14:00 - 00002206 _____ () C:\WINDOWS\system32\wpa.dbl 2014-07-26 12:17 - 2014-07-26 10:52 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-26 12:17 - 2012-12-18 13:00 - 00000280 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-26 12:17 - 2011-12-30 00:50 - 00000050 _____ () C:\WINDOWS\wiaservc.log 2014-07-26 12:17 - 2011-12-29 18:52 - 00000280 _____ () C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-26 12:17 - 2011-12-28 13:43 - 00001094 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2014-07-26 12:17 - 2011-12-27 21:29 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT 2014-07-26 12:16 - 2011-12-27 21:30 - 00000190 ___SH () C:\Dokumente und Einstellungen\Eric Fürst\ntuser.ini 2014-07-26 12:16 - 2011-12-27 21:30 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst 2014-07-26 12:16 - 2011-12-27 21:29 - 00032634 _____ () C:\WINDOWS\SchedLgU.Txt 2014-07-26 12:15 - 2014-07-26 12:15 - 00012445 _____ () C:\ComboFix.txt 2014-07-26 12:15 - 2014-07-26 12:15 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-26 12:15 - 2014-07-26 12:15 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-26 12:15 - 2014-07-26 12:00 - 00000000 ____D () C:\Qoobox 2014-07-26 12:15 - 2014-07-26 12:00 - 00000000 ____D () C:\ComboFix 2014-07-26 12:15 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\LocalService 2014-07-26 12:15 - 2011-12-27 21:17 - 00006706 _____ () C:\WINDOWS\system32\PerfStringBackup.INI 2014-07-26 12:13 - 2014-07-26 11:58 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 12:12 - 2011-12-28 13:43 - 00001098 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2014-07-26 12:12 - 2002-12-31 14:00 - 00000227 _____ () C:\WINDOWS\system.ini 2014-07-26 12:11 - 2011-12-27 22:12 - 00000000 ____D () C:\WINDOWS\system 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:10 - 2013-02-24 16:39 - 00524288 _____ () C:\WINDOWS\system32\config\ACEEvent.evt 2014-07-26 12:10 - 2011-12-27 22:15 - 39845888 _____ () C:\WINDOWS\system32\config\software.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 06029312 _____ () C:\WINDOWS\system32\config\system.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 00786432 _____ () C:\WINDOWS\system32\config\default.bak 2014-07-26 12:10 - 2011-12-27 21:29 - 00000190 ___SH () C:\Dokumente und Einstellungen\LocalService\ntuser.ini 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SECURITY.bak 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SAM.bak 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-27 22:16 - 00000530 __RSH () C:\boot.ini 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:35 - 2014-07-26 11:32 - 00000000 ____D () C:\AdwCleaner 2014-07-26 11:35 - 2011-12-27 21:17 - 00000000 ___RD () C:\Programme 2014-07-26 11:27 - 2014-07-26 10:52 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job 2014-07-26 11:25 - 2012-03-31 10:55 - 00699056 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe 2014-07-26 11:25 - 2011-12-28 13:46 - 00071344 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl 2014-07-26 11:20 - 2011-12-27 22:19 - 00000000 ____D () C:\WINDOWS\Microsoft.NET 2014-07-26 11:07 - 2014-04-09 17:52 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys 2014-07-26 11:06 - 2014-07-26 11:06 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-26 11:06 - 2014-07-26 11:06 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-07-26 11:06 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-01-28 21:22 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2014-07-26 11:06 - 2011-12-27 21:17 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme 2014-07-26 10:55 - 2011-12-28 20:01 - 00673459 _____ () C:\WINDOWS\setupapi.log 2014-07-26 10:55 - 2011-12-28 18:17 - 00003710 _____ () C:\WINDOWS\setupact.log Files to move or delete: ==================== C:\Dokumente und Einstellungen\Eric Fürst\ptw12.exe Some content of TEMP: ==================== C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\avgnt.exe ==================== Bamital & volsnap Check ================= (There is no automatic fix for files that do not pass verification.) C:\WINDOWS\explorer.exe => File is digitally signed C:\WINDOWS\system32\winlogon.exe => File is digitally signed C:\WINDOWS\system32\svchost.exe => File is digitally signed C:\WINDOWS\system32\services.exe => File is digitally signed C:\WINDOWS\system32\User32.dll => File is digitally signed C:\WINDOWS\system32\userinit.exe => File is digitally signed C:\WINDOWS\system32\rpcss.dll => File is digitally signed C:\WINDOWS\system32\Drivers\volsnap.sys => File is digitally signed ==================== End Of Log ============================ Addition Additional scan result of Farbar Recovery Scan Tool (x86) Version: 29-01-2014 01 Ran by Eric Fürst at 2014-01-30 22:18:20 Running from E:\Howdecrypt entfernen Boot Mode: Safe Mode (with Networking) ========================================================== ==================== Security Center ======================== AV: Avira Desktop (Disabled - Up to date) {AD166499-45F9-482A-A743-FDD3350758C7} ==================== Installed Programs ====================== Adobe AIR (Version: 3.7.0.1530 - Adobe Systems Incorporated) Adobe AIR (Version: 3.7.0.1530 - Adobe Systems Incorporated) Hidden Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) Adobe Reader X (10.1.9) - Deutsch (Version: 10.1.9 - Adobe Systems Incorporated) Adobe Shockwave Player 12.0 (Version: 12.0.7.148 - Adobe Systems, Inc.) Adobe SVG Viewer 3.0 (Version: 3.0 - ) Apple Application Support (Version: 2.3.6 - Apple Inc.) Apple Mobile Device Support (Version: 7.0.0.117 - Apple Inc.) Apple Software Update (Version: 2.1.3.127 - Apple Inc.) Ashampoo Burning Studio Elements 10.0.9 (Version: 3.1.1 - Ashampoo GmbH & Co. KG) ASUS Gamer OSD (Version: 2.05.0913 - ASUSTeK COMPUTER INC.) ASUS nVidia Driver (Version: 5.00.0000 - Ihr Firmenname) Hidden Athlon 64 Processor Driver (Version: 1.2.2.2 - ) ATI - Dienstprogramm zur Deinstallation der Software (Version: 6.14.10.1022 - ) ATI Catalyst Control Center (Version: 2.010.0210.2338 - ) ATI Display Driver (Version: 8.231-060221a1-030895C-ATI - ) Avira Free Antivirus (Version: 14.0.2.344 - Avira) BittorrentBar_DE Toolbar (Version: 6.14.0.28 - BittorrentBar_DE) Bonjour (Version: 3.0.0.10 - Apple Inc.) Catalyst Control Center - Branding (Version: 1.00.0000 - ATI) Hidden Catalyst Control Center Core Implementation (Version: 2010.0210.2339.42455 - ATI) Hidden Catalyst Control Center Graphics Full Existing (Version: 2010.0210.2339.42455 - ATI) Hidden Catalyst Control Center Graphics Full New (Version: 2010.0210.2339.42455 - ATI) Hidden Catalyst Control Center Graphics Light (Version: 2010.0210.2339.42455 - ATI) Hidden Catalyst Control Center Graphics Previews Common (Version: 2010.0210.2339.42455 - ATI) Hidden Catalyst Control Center HydraVision Full (Version: 2010.0210.2339.42455 - ATI) Hidden Catalyst Control Center Localization All (Version: 2010.0210.2339.42455 - ATI) Hidden CCC Help Chinese Standard (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Chinese Traditional (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Czech (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Danish (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Dutch (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help English (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Finnish (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help French (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help German (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Greek (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Hungarian (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Italian (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Japanese (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Korean (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Norwegian (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Polish (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Portuguese (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Russian (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Spanish (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Swedish (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Thai (Version: 2010.0210.2338.42455 - ATI) Hidden CCC Help Turkish (Version: 2010.0210.2338.42455 - ATI) Hidden ccc-core-preinstall (Version: 2010.0210.2339.42455 - ATI) Hidden ccc-core-static (Version: 2010.0210.2339.42455 - ATI) Hidden ccc-utility (Version: 2010.0210.2339.42455 - ATI) Hidden Common Desktop Agent (Version: 1.62.0 - OEM) Hidden FUSSBALL MANAGER 12 (Version: 1.0.0.0 - Electronic Arts) Google Chrome (Version: 32.0.1700.102 - Google Inc.) Google Earth (Version: 7.1.2.2041 - Google) Google Toolbar for Internet Explorer (Version: 1.0.0 - Google Inc.) Hidden Google Toolbar for Internet Explorer (Version: 7.5.4805.320 - Google Inc.) Google Update Helper (Version: 1.3.22.3 - Google Inc.) Hidden Hotfix für Windows XP (KB2756822) (Version: 1 - Microsoft Corporation) Hotfix für Windows XP (KB2779562) (Version: 1 - Microsoft Corporation) iLivid (Version: 4.0.0.2208 - Bandoo Media Inc) <==== ATTENTION iTunes (Version: 11.1.3.8 - Apple Inc.) Java(TM) 6 Update 31 (Version: 6.0.310 - Oracle) Junk Mail filter update (Version: 14.0.8117.416 - Microsoft Corporation) Hidden Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300 - Malwarebytes Corporation) MCShield ::Anti-Malware Tool:: (Version: 3.0.3.26 - MyCity) Microsoft .NET Framework 2.0 Service Pack 2 (Version: 2.2.30729 - Microsoft Corporation) Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU (Version: 2.2.30729 - Microsoft Corporation) Microsoft .NET Framework 3.0 Service Pack 2 (Version: 3.2.30729 - Microsoft Corporation) Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU (Version: 3.2.30729 - Microsoft Corporation) Microsoft .NET Framework 3.5 Language Pack SP1 - DEU (Version: - Microsoft Corporation) Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729 - Microsoft Corporation) Hidden Microsoft .NET Framework 3.5 SP1 (Version: - Microsoft Corporation) Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729 - Microsoft Corporation) Hidden Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation) Hidden Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319 - Microsoft Corporation) Hidden Microsoft Application Error Reporting (Version: 12.0.6012.5000 - Microsoft Corporation) Hidden Microsoft Choice Guard (Version: 2.0.48.0 - Microsoft Corporation) Hidden Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 (Version: - Microsoft Corporation) Hidden Microsoft Office 2007 Service Pack 3 (SP3) (Version: - Microsoft) Hidden Microsoft Office Access MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office File Validation Add-In (Version: 14.0.5130.5003 - Microsoft Corporation) Microsoft Office Live Add-in 1.5 (Version: 2.0.4024.1 - Microsoft Corporation) Microsoft Office Outlook Connector (Version: 12.0.6423.1000 - Microsoft Corporation) Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Professional 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Microsoft Office Professional 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) Hidden Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) (Version: - Microsoft) Hidden Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Silverlight (Version: 5.1.20913.0 - Microsoft Corporation) Microsoft Software Update for Web Folders (German) 12 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (Version: 10.0.40219 - Microsoft Corporation) MobileMe Control Panel (Version: 3.1.8.0 - Apple Inc.) MSVCRT (Version: 14.0.1468.721 - Microsoft) Hidden NVIDIA Drivers (Version: - ) NVIDIA nView Desktop Manager (Version: 6.14.10.13585 - NVIDIA Corporation) Hidden Private Tax 2012 2.7 (Version: 2.7 - Information Factory AG) QuickTime (Version: 7.74.80.86 - Apple Inc.) RealDownloader (Version: 1.3.2 - RealNetworks, Inc.) Hidden RealNetworks - Microsoft Visual C++ 2008 Runtime (Version: 9.0 - RealNetworks, Inc) Hidden RealNetworks - Microsoft Visual C++ 2010 Runtime (Version: 10.0 - RealNetworks, Inc) Hidden RealPlayer (Version: 16.0.2 - RealNetworks) Realtek High Definition Audio Driver (Version: 5.10.0.6521 - Realtek Semiconductor Corp.) RealUpgrade 1.1 (Version: 1.1.0 - RealNetworks, Inc.) Hidden Safari (Version: 5.34.57.2 - Apple Inc.) Samsung CLX-3300 Series (Version: 1.04 (07.07.2012) - Samsung Electronics Co., Ltd.) Samsung Easy Document Creator (Version: 1.03.13 (29.06.2012) - Samsung Electronics Co., Ltd.) Samsung Easy Printer Manager (Version: 1.02.57.00(05.07.2012) - Samsung Electronics Co., Ltd.) Samsung Printer Live Update (Version: 1.01.00.04 - Samsung Electronics Co., Ltd.) Samsung Scan Process Machine (Version: 1.00.20.00 - Samsung Electronics Co., Ltd.) Hidden Segoe UI (Version: 14.0.4327.805 - Microsoft Corp) Hidden Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2675157) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2699988) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2722913) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2761465) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2792100) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2797052) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2799329) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2809289) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2817183) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2829530) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2838727) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2846071) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2847204) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2862772) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2870699) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2879017) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2888505) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB2898785) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Internet Explorer 8 (KB982381) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows Media Player (KB2834904) (Version: - Microsoft Corporation) Sicherheitsupdate für Windows Media Player (KB2834904-v2) (Version: - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2584146) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2585542) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2598479) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2603381) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2621440) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2631813) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2641653) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2646524) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2647518) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2653956) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2655992) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2659262) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2660465) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2661637) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2676562) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2685939) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2686509) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2691442) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2695962) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2698365) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2705219) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2707511) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2709162) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2712808) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2718523) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2719985) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2723135) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2724197) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2727528) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2731847) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2753842) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2753842-v2) (Version: 2 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2757638) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2758857) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2761226) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2770660) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2778344) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2779030) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2780091) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2799494) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2802968) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2807986) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2808735) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2813170) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2813345) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2820197) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2820917) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2829361) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2834886) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2839229) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2845187) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2847311) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2849470) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2850851) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2850869) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2859537) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2862152) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2862330) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2862335) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2864063) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2868626) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2876217) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2876315) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2876331) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2883150) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2892075) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2893294) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2893984) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2898715) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2900986) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB2914368) (Version: 1 - Microsoft Corporation) Sicherheitsupdate für Windows XP (KB923789) (Version: - Microsoft Corporation) Skins (Version: 2010.0210.2339.42455 - ATI) Hidden SNS Upload for Easy Document Creator (Version: 1.0.0 - Samsung Electronics Co.,Ltd) swMSM (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden Update for 2007 Microsoft Office System (KB967642) (Version: - Microsoft) Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1 - Microsoft Corporation) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1 - Microsoft Corporation) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1 - Microsoft Corporation) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1 - Microsoft Corporation) Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition (Version: - Microsoft) Update for Microsoft Office 2007 suites (KB2687493) 32-Bit Edition (Version: - Microsoft) Update for Microsoft Office 2007 suites (KB2767849) 32-Bit Edition (Version: - Microsoft) Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition (Version: - Microsoft) Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition (Version: - Microsoft) Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2850085) 32-Bit Edition (Version: - Microsoft) Update für Microsoft Office Excel 2007 Help (KB963678) (Version: - Microsoft) Update für Microsoft Office Outlook 2007 Help (KB963677) (Version: - Microsoft) Update für Microsoft Office Powerpoint 2007 Help (KB963669) (Version: - Microsoft) Update für Microsoft Office Word 2007 Help (KB963665) (Version: - Microsoft) Update für Windows Internet Explorer 8 (KB2598845) (Version: 1 - Microsoft Corporation) Update für Windows Internet Explorer 8 (KB2632503) (Version: 1 - Microsoft Corporation) Update für Windows XP (KB2661254-v2) (Version: 2 - Microsoft Corporation) Update für Windows XP (KB2718704) (Version: 1 - Microsoft Corporation) Update für Windows XP (KB2736233) (Version: 1 - Microsoft Corporation) Update für Windows XP (KB2749655) (Version: 1 - Microsoft Corporation) Update für Windows XP (KB2863058) (Version: 1 - Microsoft Corporation) Update für Windows XP (KB2904266) (Version: 1 - Microsoft Corporation) Update für Windows XP (KB951978) (Version: 1 - Microsoft Corporation) Hidden Update für Windows XP (KB961503) (Version: 1 - Microsoft Corporation) WebFldrs XP (Version: 9.50.7523 - Microsoft Corporation) Hidden Windows Genuine Advantage Notifications (KB905474) (Version: 1.9.0040.0 - Microsoft Corporation) Windows Genuine Advantage Validation Tool (KB892130) (Version: - Microsoft Corporation) Windows Internet Explorer 8 (Version: 20090308.140743 - Microsoft Corporation) Windows Live Anmelde-Assistent (Version: 5.000.818.5 - Microsoft Corporation) Windows Live Call (Version: 14.0.8117.0416 - Microsoft Corporation) Hidden Windows Live Communications Platform (Version: 14.0.8117.416 - Microsoft Corporation) Hidden Windows Live Essentials (Version: 14.0.8117.0416 - Microsoft Corporation) Windows Live Essentials (Version: 14.0.8117.416 - Microsoft Corporation) Hidden Windows Live Mail (Version: 14.0.8117.0416 - Microsoft Corporation) Hidden Windows Live Messenger (Version: 14.0.8117.0416 - Microsoft Corporation) Hidden Windows Live Writer (Version: 14.0.8117.0416 - Microsoft Corporation) Hidden Windows Live-Uploadtool (Version: 14.0.8014.1029 - Microsoft Corporation) Windows Management Framework Core (Version: - Microsoft Corporation) Windows Media Format 11 runtime (Version: - ) Windows Media Format 11 runtime (Version: - Microsoft Corporation) Hidden Windows Media Player 11 (Version: - ) Windows Media Player 11 (Version: - Microsoft Corporation) Hidden XML Paper Specification Shared Components Language Pack 1.0 (Version: - Microsoft Corporation) Hidden XviD MPEG-4 Video Codec (Version: - XviD Development Team) ==================== Restore Points ========================= ==================== Hosts content: ========================== 2002-12-31 13:00 - 2014-01-30 22:10 - 00000741 ____A C:\WINDOWS\system32\Drivers\etc\hosts 127.0.0.1 localhost ==================== Scheduled Tasks (whitelisted) ============= Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe Task: C:\WINDOWS\Tasks\AppleSoftwareUpdate.job => C:\Programme\Apple Software Update\SoftwareUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Programme\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Programme\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job => C:\Programme\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job => C:\Programme\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job => C:\Programme\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job => C:\Programme\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job => C:\WINDOWS\system32\msfeedssync.exe ==================== Loaded Modules (whitelisted) ============= 2013-12-18 19:42 - 2013-12-18 19:42 - 00301056 _____ () C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ==================== Alternate Data Streams (whitelisted) ========= AlternateDataStreams: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP1B5B4F1 AlternateDataStreams: C:\Dokumente und Einstellungen\Eric Fürst\Desktop\Track14.cda:SummaryInformation AlternateDataStreams: C:\Dokumente und Einstellungen\Eric Fürst\Desktop\Track14.cda:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} ==================== Safe Mode (whitelisted) =================== HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2" ==================== Faulty Device Manager Devices ============= Name: Microsoft PS/2-Maus Description: Microsoft PS/2-Maus Class Guid: {4D36E96F-E325-11CE-BFC1-08002BE10318} Manufacturer: Microsoft Service: i8042prt Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. ==================== Event log errors: ========================= Application errors: ================== Error: (01/30/2014 09:45:39 PM) (Source: LoadPerf) (User: ) Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. Error: (01/30/2014 09:45:39 PM) (Source: LoadPerf) (User: ) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich. Error: (01/30/2014 09:45:39 PM) (Source: LoadPerf) (User: ) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich. Error: (01/30/2014 09:27:27 PM) (Source: LoadPerf) (User: ) Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. Error: (01/30/2014 09:27:27 PM) (Source: LoadPerf) (User: ) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich. Error: (01/30/2014 09:27:27 PM) (Source: LoadPerf) (User: ) Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess Performance auf dem Erweitungerungsindikator-Anbieter ausgeführt wird. Der Wert BaseIndex aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert LastCounter ist das zweite DWORD im Datenbereich und der Werte LastHelp ist das dritte DWORD im Datenbereich. Error: (01/30/2014 09:24:02 PM) (Source: Userenv) (User: ERIC-43F538040C) Description: Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden mit dem standardmäßigen Profil für das System angemeldet. Details - Der Vorgang wurde erfolgreich beendet. Error: (01/30/2014 09:24:02 PM) (Source: Userenv) (User: ERIC-43F538040C) Description: Das Profil konnte nicht geladen werden, weil es möglicherweise beschädigt ist. Wenden Sie sich an den Administrator. Error: (01/30/2014 09:24:01 PM) (Source: Userenv) (User: NT-AUTORITÄT) Description: Die Registrierung konnte nicht geladen werden. Dies wird oft durch zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht. Details - Die Datenbank der Konfigurationsregistrierung ist beschädigt. for C:\Dokumente und Einstellungen\TEMP\ntuser.dat Error: (01/30/2014 09:24:00 PM) (Source: Userenv) (User: ERIC-43F538040C) Description: Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren. System errors: ============= Error: (01/30/2014 10:16:36 PM) (Source: Service Control Manager) (User: ) Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: AmdK8 asuskbnt avipbb avkmgr EIO Fips Error: (01/30/2014 10:16:36 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler beendet: %%2 Error: (01/30/2014 10:15:19 PM) (Source: DCOM) (User: ERIC-43F538040C) Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error: (01/30/2014 10:15:19 PM) (Source: DCOM) (User: ERIC-43F538040C) Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error: (01/30/2014 10:15:18 PM) (Source: DCOM) (User: NT-AUTORITÄT) Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error: (01/30/2014 10:15:02 PM) (Source: SRService) (User: ) Description: Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen. Error: (01/30/2014 10:13:50 PM) (Source: DCOM) (User: NT-AUTORITÄT) Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error: (01/30/2014 10:13:17 PM) (Source: DCOM) (User: ERIC-43F538040C) Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error: (01/30/2014 10:11:18 PM) (Source: DCOM) (User: ERIC-43F538040C) Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Error: (01/30/2014 10:03:11 PM) (Source: DCOM) (User: ERIC-43F538040C) Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} Microsoft Office Sessions: ========================= Error: (12/18/2013 00:46:41 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 6, Application Name: Microsoft Office Outlook, Application Version: 12.0.6680.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 388 seconds with 300 seconds of active time. This session ended with a crash. Error: (12/17/2013 04:35:53 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 6, Application Name: Microsoft Office Outlook, Application Version: 12.0.6680.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 77 seconds with 60 seconds of active time. This session ended with a crash. Error: (12/17/2013 02:29:15 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 6, Application Name: Microsoft Office Outlook, Application Version: 12.0.6680.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 204 seconds with 180 seconds of active time. This session ended with a crash. Error: (12/16/2013 11:21:30 AM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 6, Application Name: Microsoft Office Outlook, Application Version: 12.0.6680.5000, Microsoft Office Version: 12.0.6612.1000. This session lasted 178 seconds with 60 seconds of active time. This session ended with a crash. Error: (03/15/2012 08:55:18 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6612.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 2 seconds with 0 seconds of active time. This session ended with a crash. Error: (01/12/2012 07:26:02 PM) (Source: Microsoft Office 12 Sessions)(User: ) Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6612.1000, Microsoft Office Version: 12.0.6612.1000. This session lasted 2 seconds with 0 seconds of active time. This session ended with a crash. Geändert von 2fast4al (26.07.2014 um 11:53 Uhr) |
26.07.2014, 13:33 | #2 |
/// the machine /// TB-Ausbilder | Howdecrypt Virus Hi,
__________________In welcher Reihenfolge hast du die Tools angewendet? Sind Daten verschlüsselt worden?
__________________ |
26.07.2014, 14:05 | #3 |
| Howdecrypt Virus Hallo schrauber
__________________in dieser Reihenfolge wie aufgeführt. alle bilder sind jetzt verschlüsselt mit howdecrypt danke für die schnelle antwort eric |
26.07.2014, 20:17 | #4 |
/// the machine /// TB-Ausbilder | Howdecrypt VirusSo funktioniert es: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Combofix vom Desktop löschen. Scan mit Combofix
Deine Daten sind aber weg. Entschlüsseln nicht möglich.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
27.07.2014, 12:00 | #5 |
| Howdecrypt VirusCode:
ATTFilter ComboFix 14-07-25.01 - Eric Fürst 27.07.2014 12:45:02.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.2047.1287 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Eric F³rst\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . ((((((((((((((((((((((( Dateien erstellt von 2014-06-27 bis 2014-07-27 )))))))))))))))))))))))))))))) . . 2014-07-26 09:42 . 2014-07-26 09:42 -------- d-----w- c:\windows\ERUNT 2014-07-26 09:33 . 2010-08-30 06:34 536576 ----a-w- c:\windows\system32\sqlite3.dll 2014-07-26 09:32 . 2014-07-26 09:35 -------- d-----w- C:\AdwCleaner 2014-07-26 09:06 . 2014-07-26 09:06 -------- d-----w- c:\programme\ Malwarebytes Anti-Malware 2014-07-26 09:06 . 2014-05-12 05:26 53208 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys 2014-07-26 09:06 . 2014-05-12 05:25 23256 ----a-w- c:\windows\system32\drivers\mbam.sys . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2014-07-26 10:25 . 2014-01-28 16:20 97648 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2014-07-26 10:25 . 2013-02-22 14:53 136216 ----a-w- c:\windows\system32\drivers\avipbb.sys 2014-07-26 09:25 . 2012-03-31 08:55 699056 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2014-07-26 09:25 . 2011-12-28 11:46 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2014-07-26 09:07 . 2014-04-09 15:52 110296 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-12-28 39408] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2011-12-05 20065384] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-11-21 959904] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2013-09-13 59720] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2013-11-01 152392] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440] "CDAServer"="c:\programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe" [2012-02-20 344064] "TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2013-07-20 295512] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2013-05-01 421888] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2014-07-26 750160] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 0 (0x0) "HideSCAHealth"= 0 (0x0) . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 0 (0x0) . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] . [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon] "shell"=hex(c76ff0):43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,\ . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UwjahfaPtiwf.dll . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\WINDOWS\\twain_32\\Samsung\\CLX3300\\SCNSearch\\USDAgent.exe"= "c:\\Programme\\Samsung\\Easy Document Creator\\USDAgent.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\IDS.Application.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\OrderSupplies.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\IDSAlert.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\CDAS2PC\\CDAS2PC.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [22.02.2013 16:53 37352] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.01.2014 18:20 430160] R2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\programme\RealNetworks\RealDownloader\rndlresolversvc.exe [16.04.2013 03:07 39056] R2 SSPORT;SSPORT;c:\windows\system32\drivers\SSPORT.sys [15.02.2012 15:16 5120] R4 atidgllk;atidgllk;c:\windows\atidgllk.sys [27.12.2011 21:49 5376] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27.12.2011 22:42 1691480] S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys --> c:\windows\system32\DRIVERS\RTL8192su.sys [?] . Inhalt des "geplante Tasks" Ordners . 2014-07-26 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 09:25] . 2014-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57] . 2014-07-27 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job - c:\windows\system32\xp_eos.exe [2014-05-28 23:28] . 2014-07-26 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job - c:\windows\system32\xp_eos.exe [2014-05-28 23:28] . 2014-07-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-12-28 11:43] . 2014-07-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-12-28 11:43] . 2014-07-27 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-01-20 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-27 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-01-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-27 c:\windows\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2014-07-27 12:50 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(1368) c:\windows\system32\Ati2evxx.dll . - - - - - - - > 'explorer.exe'(2996) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2014-07-27 12:51:02 ComboFix-quarantined-files.txt 2014-07-27 10:51 ComboFix2.txt 2014-07-26 10:15 . Vor Suchlauf: 12 Verzeichnis(se), 161'480'978'432 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 161'502'535'680 Bytes frei . - - End Of File - - D13253A6DC1A10635CFFEF330B95A3FE 72B8CE41AF0DE751C946802B3ED844B4 |
27.07.2014, 14:07 | #6 |
/// the machine /// TB-Ausbilder | Howdecrypt Virus genau das heisst es. Ausser du bezahlst, und auch das ist keine Garantie. Du kannst die gängigen Entschlüsselungstools versuchen. Wenn die nix bringen keine Chance. Downloade Dir bitte Malwarebytes Anti-Malware
Downloade Dir bitte AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte.
__________________ --> Howdecrypt Virus |
27.07.2014, 14:54 | #7 |
| Howdecrypt Virus MBAM Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 27.07.2014 Suchlauf-Zeit: 15:11:45 Logdatei: mbam.txt Administrator: Ja Version: 2.00.2.1012 Malware Datenbank: v2014.07.27.04 Rootkit Datenbank: v2014.07.17.01 Lizenz: Testversion Malware Schutz: Aktiviert Bösartiger Webseiten Schutz: Aktiviert Self-protection: Deaktiviert Betriebssystem: Windows XP Service Pack 3 CPU: x86 Dateisystem: NTFS Benutzer: Eric Fürst Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 443467 Verstrichene Zeit: 12 Min, 10 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristics: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (No malicious items detected) Module: 0 (No malicious items detected) Registrierungsschlüssel: 0 (No malicious items detected) Registrierungswerte: 0 (No malicious items detected) Registrierungsdaten: 0 (No malicious items detected) Ordner: 0 (No malicious items detected) Dateien: 0 (No malicious items detected) Physische Sektoren: 0 (No malicious items detected) (end) ADWCLEANER Code:
ATTFilter # AdwCleaner v3.216 - Bericht erstellt am 27/07/2014 um 15:26:58 # Aktualisiert 17/07/2014 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzername : Eric Fürst - ERIC-43F538040C # Gestartet von : C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe # Option : Löschen ***** [ Dienste ] ***** ***** [ Dateien / Ordner ] ***** ***** [ Verknüpfungen ] ***** ***** [ Registrierungsdatenbank ] ***** Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F} ***** [ Browser ] ***** -\\ Internet Explorer v8.0.6001.18702 -\\ Google Chrome v [ Datei : C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\preferences ] ************************* AdwCleaner[R1].txt - [5122 octets] - [26/07/2014 11:32:55] AdwCleaner[R2].txt - [1117 octets] - [27/07/2014 15:26:11] AdwCleaner[S0].txt - [5183 octets] - [26/07/2014 11:35:04] AdwCleaner[S1].txt - [1039 octets] - [27/07/2014 15:26:58] ########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1099 octets] ########## JRT Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.1.3 (03.23.2014:1) OS: Microsoft Windows XP x86 Ran by Eric Frst on 27.07.2014 at 15:38:47.12 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys ~~~ Files ~~~ Folders ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 27.07.2014 at 15:43:01.76 Computer was rebooted End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ FRST FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-07-2014 Ran by Eric Fürst (administrator) on ERIC-43F538040C on 27-07-2014 15:50:29 Running from C:\Dokumente und Einstellungen\Eric Fürst\Desktop Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: Deutsch (Deutschland) Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (If an entry is included in the fixlist, the process will be closed. The file will not be moved.) (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe (Apple Inc.) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ASUSTeK COMPUTER INC.) C:\WINDOWS\ATKKBService.exe (Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe () C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE (Apple Inc.) C:\Programme\iTunes\iTunesHelper.exe () C:\Programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe (Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (RealNetworks, Inc.) C:\Programme\Real\RealPlayer\Update\realsched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Apple Inc.) C:\Programme\iPod\bin\iPodService.exe (ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Google Inc.) C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe ==================== Registry (Whitelisted) ================== (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.) Winlogon\Notify\AtiExtEvent: C:\WINDOWS\system32\Ati2evxx.dll (ATI Technologies Inc.) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-19\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-20\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Run: [swg] => C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2011-12-28] (Google Inc.) HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [NoInstrumentation] 1 HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [TaskbarNoNotification] 0 SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UwjahfaPtiwf.dll BootExecute: autocheck autochk * sdnclean.exe ==================== Internet (Whitelisted) ==================== (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.) HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader) BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) BHO: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) BHO: Google Toolbar Notifier BHO -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> C:\Programme\Google\GoogleToolbarNotifier\5.7.9012.1008\swg.dll (Google Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1325015716157 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) ShellExecuteHooks: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [304128 2009-05-24] (Microsoft Corporation) Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 FireFox: ======== FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1207148.dll (Adobe Systems, Inc.) FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF Plugin: @microsoft.com/WPF,version=3.5 - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @real.com/nppl3260;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer) FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-12-27] FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2012-02-21] FF HKLM\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF Extension: RealDownloader - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-07-20] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION CHR Extension: (RealDownloader) - C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2013-03-11] CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-04-16] ========================== Services (Whitelisted) ================= (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [55624 2013-09-07] (Apple Inc.) S2 ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [593920 2010-02-10] () [File not signed] R2 ATKKeyboardService; C:\WINDOWS\ATKKBService.exe [258560 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [194032 2012-08-23] (Google) S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [69632 2005-04-04] (Macrovision Corporation) [File not signed] R3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553288 2013-11-02] (Apple Inc.) R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2012-02-21] (Sun Microsystems, Inc.) R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation) R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation) S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) R2 RealNetworks Downloader Resolver Service; C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation) ==================== Drivers (Whitelisted) ==================== (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) S3 Ambfilt; C:\WINDOWS\System32\drivers\Ambfilt.sys [1691480 2009-11-18] (Creative) R1 AmdK8; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [43008 2005-03-09] (Advanced Micro Devices) S1 AmdPPM; C:\WINDOWS\System32\DRIVERS\AmdPPM.sys [33792 2007-04-16] (Advanced Micro Devices) R3 asusgsb; C:\WINDOWS\System32\drivers\asusgsb.sys [12416 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] R1 asuskbnt; C:\WINDOWS\System32\drivers\atkkbnt.sys [11136 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] R4 atidgllk; C:\WINDOWS\atidgllk.sys [5376 2007-09-13] (Overclocking Tool) [File not signed] R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [97648 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [136216 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-26] (Avira Operations GmbH & Co. KG) S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation) R1 EIO; C:\WINDOWS\system32\drivers\EIO.sys [12288 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] S3 HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [51024 2003-03-09] (HP) S3 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [16080 2003-03-09] (HP) S3 HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [21456 2003-03-09] (HP) R3 irsir; C:\WINDOWS\System32\DRIVERS\irsir.sys [18688 2001-08-17] (Microsoft Corporation) R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-07-27] (Malwarebytes Corporation) S3 Monfilt; C:\WINDOWS\System32\drivers\Monfilt.sys [1395800 2009-11-18] (Creative Technology Ltd.) S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation) S3 NuidFltr; C:\WINDOWS\System32\DRIVERS\NuidFltr.sys [14736 2009-05-09] (Microsoft Corporation) R3 NVENETFD; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [52736 2006-03-22] (NVIDIA Corporation) R3 nvnetbus; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [18944 2006-03-22] (NVIDIA Corporation) R3 Rasirda; C:\WINDOWS\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation) S3 rt2870; C:\WINDOWS\System32\DRIVERS\Drt2870.sys [829152 2010-05-06] (Ralink Technology, Corp.) S3 SONYPVU1; C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [7552 2001-08-17] (Sony Corporation) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-12-18] (Avira GmbH) R2 SSPORT; C:\WINDOWS\system32\Drivers\SSPORT.sys [5120 2012-02-15] (Samsung Electronics) [File not signed] S3 USBAAPL; C:\WINDOWS\System32\Drivers\usbaapl.sys [43520 2012-02-15] (Apple, Inc.) [File not signed] R3 Video3D; C:\WINDOWS\System32\Drivers\Video3D32.sys [10752 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S3 catchme; \??\C:\DOKUME~1\ERICFR~1\LOKALE~1\Temp\catchme.sys [X] S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; No ImagePath S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] U3 TrueSight; \??\C:\WINDOWS\system32\TrueSight.sys [X] ==================== NetSvcs (Whitelisted) =================== (If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.) ==================== One Month Created Files and Folders ======== (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:50 - 2014-07-27 15:50 - 00017707 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 12:51 - 2014-07-27 15:50 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:43 - 2014-07-27 12:51 - 00000000 ____D () C:\ComboFix 2014-07-27 12:36 - 2014-07-27 12:33 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-28 18:06 - 00000413 _____ () C:\Boot.bak 2014-07-26 12:03 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr 2014-07-26 12:00 - 2014-07-27 12:51 - 00000000 ____D () C:\Qoobox 2014-07-26 12:00 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe 2014-07-26 12:00 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe 2014-07-26 12:00 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe 2014-07-26 11:58 - 2014-07-26 12:13 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:33 - 2010-08-30 08:34 - 00536576 _____ (SQLite Development Team) C:\WINDOWS\system32\sqlite3.dll 2014-07-26 11:32 - 2014-07-27 15:27 - 00000000 ____D () C:\AdwCleaner 2014-07-26 11:06 - 2014-07-27 15:10 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-07-26 11:06 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-07-26 10:52 - 2014-07-27 15:35 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-26 10:52 - 2014-07-26 11:27 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job ==================== One Month Modified Files and Folders ======= (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:50 - 2014-07-27 15:50 - 00017707 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-27 15:50 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-27 15:50 - 2014-01-30 23:17 - 00000000 ____D () C:\FRST 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:40 - 2011-12-27 22:38 - 00000428 ____H () C:\WINDOWS\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job 2014-07-27 15:38 - 2014-04-09 17:52 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys 2014-07-27 15:37 - 2011-12-27 21:26 - 02048602 _____ () C:\WINDOWS\WindowsUpdate.log 2014-07-27 15:37 - 2011-12-27 21:20 - 00000157 _____ () C:\WINDOWS\wiadebug.log 2014-07-27 15:37 - 2002-12-31 14:00 - 00002206 _____ () C:\WINDOWS\system32\wpa.dbl 2014-07-27 15:36 - 2011-12-30 00:50 - 00000050 _____ () C:\WINDOWS\wiaservc.log 2014-07-27 15:35 - 2014-07-26 10:52 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-27 15:35 - 2012-12-18 13:00 - 00000280 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 15:35 - 2011-12-29 18:52 - 00000280 _____ () C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 15:35 - 2011-12-28 13:43 - 00001094 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2014-07-27 15:35 - 2011-12-27 21:29 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT 2014-07-27 15:34 - 2013-02-24 16:39 - 00524288 _____ () C:\WINDOWS\system32\config\ACEEvent.evt 2014-07-27 15:34 - 2011-12-27 21:30 - 00000190 ___SH () C:\Dokumente und Einstellungen\Eric Fürst\ntuser.ini 2014-07-27 15:34 - 2011-12-27 21:29 - 00032616 _____ () C:\WINDOWS\SchedLgU.Txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:27 - 2014-07-26 11:32 - 00000000 ____D () C:\AdwCleaner 2014-07-27 15:27 - 2011-12-27 21:30 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:25 - 2012-03-31 10:56 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:12 - 2011-12-28 13:43 - 00001098 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 15:10 - 2014-07-26 11:06 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:43 - 00000000 ____D () C:\ComboFix 2014-07-27 12:51 - 2014-07-26 12:00 - 00000000 ____D () C:\Qoobox 2014-07-27 12:51 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService 2014-07-27 12:50 - 2002-12-31 14:00 - 00000227 _____ () C:\WINDOWS\system.ini 2014-07-27 12:33 - 2014-07-27 12:36 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-27 12:31 - 2011-12-28 20:01 - 00679444 _____ () C:\WINDOWS\setupapi.log 2014-07-27 12:31 - 2011-12-28 18:17 - 00003785 _____ () C:\WINDOWS\setupact.log 2014-07-26 13:32 - 2013-08-15 01:47 - 00000000 ____D () C:\WINDOWS\system32\MRT 2014-07-26 13:32 - 2011-12-28 13:56 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2014-07-26 12:25 - 2014-01-28 18:20 - 00097648 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avgntflt.sys 2014-07-26 12:25 - 2013-02-22 16:53 - 00136216 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avipbb.sys 2014-07-26 12:15 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\LocalService 2014-07-26 12:15 - 2011-12-27 21:17 - 00006706 _____ () C:\WINDOWS\system32\PerfStringBackup.INI 2014-07-26 12:13 - 2014-07-26 11:58 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 12:11 - 2011-12-27 22:12 - 00000000 ____D () C:\WINDOWS\system 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:10 - 2011-12-27 22:15 - 39845888 _____ () C:\WINDOWS\system32\config\software.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 06029312 _____ () C:\WINDOWS\system32\config\system.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 00786432 _____ () C:\WINDOWS\system32\config\default.bak 2014-07-26 12:10 - 2011-12-27 21:29 - 00000190 ___SH () C:\Dokumente und Einstellungen\LocalService\ntuser.ini 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SECURITY.bak 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SAM.bak 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-27 22:16 - 00000530 __RSH () C:\boot.ini 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:35 - 2011-12-27 21:17 - 00000000 ___RD () C:\Programme 2014-07-26 11:27 - 2014-07-26 10:52 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job 2014-07-26 11:25 - 2012-03-31 10:55 - 00699056 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe 2014-07-26 11:25 - 2011-12-28 13:46 - 00071344 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl 2014-07-26 11:20 - 2011-12-27 22:19 - 00000000 ____D () C:\WINDOWS\Microsoft.NET 2014-07-26 11:06 - 2014-01-28 21:22 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2014-07-26 11:06 - 2011-12-27 21:17 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme Files to move or delete: ==================== C:\Dokumente und Einstellungen\Eric Fürst\ptw12.exe Some content of TEMP: ==================== C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\avgnt.exe C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\Quarantine.exe ==================== Bamital & volsnap Check ================= (There is no automatic fix for files that do not pass verification.) C:\WINDOWS\explorer.exe => File is digitally signed C:\WINDOWS\system32\winlogon.exe => File is digitally signed C:\WINDOWS\system32\svchost.exe => File is digitally signed C:\WINDOWS\system32\services.exe => File is digitally signed C:\WINDOWS\system32\User32.dll => File is digitally signed C:\WINDOWS\system32\userinit.exe => File is digitally signed C:\WINDOWS\system32\rpcss.dll => File is digitally signed C:\WINDOWS\system32\Drivers\volsnap.sys => File is digitally signed ==================== End Of Log ============================ |
27.07.2014, 20:14 | #8 |
/// the machine /// TB-Ausbilder | Howdecrypt VirusESET Online Scanner
Downloade Dir bitte SecurityCheck und:
und ein frisches FRST log bitte. Noch Probleme?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
28.07.2014, 17:37 | #9 |
| Howdecrypt Virus hallo schrauber, hier die gewünschten informationen. besten dank für deine hilfe. Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok Code:
ATTFilter Results of screen317's Security Check version 0.99.85 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Java(TM) 6 Update 31 Java version out of Date! Adobe Reader 10.1.10 Adobe Reader out of Date! ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbam.exe Avira Antivir avgnt.exe Avira Antivir avguard.exe Malwarebytes Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-07-2014 Ran by Eric Fürst (administrator) on ERIC-43F538040C on 28-07-2014 18:32:42 Running from C:\Dokumente und Einstellungen\Eric Fürst\Desktop Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: Deutsch (Deutschland) Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (If an entry is included in the fixlist, the process will be closed. The file will not be moved.) (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe (Apple Inc.) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ASUSTeK COMPUTER INC.) C:\WINDOWS\ATKKBService.exe (Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe () C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE (Apple Inc.) C:\Programme\iTunes\iTunesHelper.exe () C:\Programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe (Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (RealNetworks, Inc.) C:\Programme\Real\RealPlayer\Update\realsched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Google Inc.) C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Apple Inc.) C:\Programme\iPod\bin\iPodService.exe (ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe ==================== Registry (Whitelisted) ================== (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.) Winlogon\Notify\AtiExtEvent: C:\WINDOWS\system32\Ati2evxx.dll (ATI Technologies Inc.) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-19\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-20\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Run: [swg] => C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2011-12-28] (Google Inc.) HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [NoInstrumentation] 1 HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [TaskbarNoNotification] 0 SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UwjahfaPtiwf.dll BootExecute: autocheck autochk * sdnclean.exe ==================== Internet (Whitelisted) ==================== (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.) HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader) BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) BHO: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) BHO: Google Toolbar Notifier BHO -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> C:\Programme\Google\GoogleToolbarNotifier\5.7.9012.1008\swg.dll (Google Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1325015716157 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) ShellExecuteHooks: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [304128 2009-05-24] (Microsoft Corporation) Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 FireFox: ======== FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1207148.dll (Adobe Systems, Inc.) FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF Plugin: @microsoft.com/WPF,version=3.5 - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @real.com/nppl3260;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer) FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-12-27] FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2012-02-21] FF HKLM\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF Extension: RealDownloader - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-07-20] Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION CHR Extension: (RealDownloader) - C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2013-03-11] CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-04-16] ========================== Services (Whitelisted) ================= (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [55624 2013-09-07] (Apple Inc.) S2 ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [593920 2010-02-10] () [File not signed] R2 ATKKeyboardService; C:\WINDOWS\ATKKBService.exe [258560 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [194032 2012-08-23] (Google) S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [69632 2005-04-04] (Macrovision Corporation) [File not signed] R3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553288 2013-11-02] (Apple Inc.) R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2012-02-21] (Sun Microsystems, Inc.) R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation) R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation) S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) R2 RealNetworks Downloader Resolver Service; C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation) ==================== Drivers (Whitelisted) ==================== (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) S3 Ambfilt; C:\WINDOWS\System32\drivers\Ambfilt.sys [1691480 2009-11-18] (Creative) R1 AmdK8; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [43008 2005-03-09] (Advanced Micro Devices) S1 AmdPPM; C:\WINDOWS\System32\DRIVERS\AmdPPM.sys [33792 2007-04-16] (Advanced Micro Devices) R3 asusgsb; C:\WINDOWS\System32\drivers\asusgsb.sys [12416 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] R1 asuskbnt; C:\WINDOWS\System32\drivers\atkkbnt.sys [11136 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] R4 atidgllk; C:\WINDOWS\atidgllk.sys [5376 2007-09-13] (Overclocking Tool) [File not signed] R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [97648 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [136216 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-26] (Avira Operations GmbH & Co. KG) S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation) R1 EIO; C:\WINDOWS\system32\drivers\EIO.sys [12288 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] S3 HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [51024 2003-03-09] (HP) S3 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [16080 2003-03-09] (HP) S3 HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [21456 2003-03-09] (HP) R3 irsir; C:\WINDOWS\System32\DRIVERS\irsir.sys [18688 2001-08-17] (Microsoft Corporation) R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-07-28] (Malwarebytes Corporation) S3 Monfilt; C:\WINDOWS\System32\drivers\Monfilt.sys [1395800 2009-11-18] (Creative Technology Ltd.) S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation) S3 NuidFltr; C:\WINDOWS\System32\DRIVERS\NuidFltr.sys [14736 2009-05-09] (Microsoft Corporation) R3 NVENETFD; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [52736 2006-03-22] (NVIDIA Corporation) R3 nvnetbus; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [18944 2006-03-22] (NVIDIA Corporation) R3 Rasirda; C:\WINDOWS\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation) S3 rt2870; C:\WINDOWS\System32\DRIVERS\Drt2870.sys [829152 2010-05-06] (Ralink Technology, Corp.) S3 SONYPVU1; C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [7552 2001-08-17] (Sony Corporation) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-12-18] (Avira GmbH) R2 SSPORT; C:\WINDOWS\system32\Drivers\SSPORT.sys [5120 2012-02-15] (Samsung Electronics) [File not signed] S3 USBAAPL; C:\WINDOWS\System32\Drivers\usbaapl.sys [43520 2012-02-15] (Apple, Inc.) [File not signed] R3 Video3D; C:\WINDOWS\System32\Drivers\Video3D32.sys [10752 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S3 catchme; \??\C:\DOKUME~1\ERICFR~1\LOKALE~1\Temp\catchme.sys [X] S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; No ImagePath S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] U3 TrueSight; \??\C:\WINDOWS\system32\TrueSight.sys [X] ==================== NetSvcs (Whitelisted) =================== (If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.) ==================== One Month Created Files and Folders ======== (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-28 18:32 - 2014-07-28 18:33 - 00018028 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-27 22:58 - 2014-07-27 22:58 - 00854390 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\SecurityCheck.exe 2014-07-27 21:37 - 2014-07-27 21:37 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\esetsmartinstaller_deu.exe 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 12:51 - 2014-07-28 18:33 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:43 - 2014-07-27 12:51 - 00000000 ____D () C:\ComboFix 2014-07-27 12:36 - 2014-07-27 12:33 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-28 18:06 - 00000413 _____ () C:\Boot.bak 2014-07-26 12:03 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr 2014-07-26 12:00 - 2014-07-27 12:51 - 00000000 ____D () C:\Qoobox 2014-07-26 12:00 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe 2014-07-26 12:00 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe 2014-07-26 12:00 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe 2014-07-26 11:58 - 2014-07-26 12:13 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:33 - 2010-08-30 08:34 - 00536576 _____ (SQLite Development Team) C:\WINDOWS\system32\sqlite3.dll 2014-07-26 11:32 - 2014-07-27 15:27 - 00000000 ____D () C:\AdwCleaner 2014-07-26 11:06 - 2014-07-27 15:10 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-07-26 11:06 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-07-26 10:52 - 2014-07-28 17:05 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-26 10:52 - 2014-07-26 11:27 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job ==================== One Month Modified Files and Folders ======= (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-28 18:33 - 2014-07-28 18:32 - 00018028 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-28 18:33 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-28 18:32 - 2014-01-30 23:17 - 00000000 ____D () C:\FRST 2014-07-28 18:31 - 2011-12-27 21:26 - 02076473 _____ () C:\WINDOWS\WindowsUpdate.log 2014-07-28 18:31 - 2011-12-27 21:17 - 00000000 ___RD () C:\Programme 2014-07-28 18:25 - 2012-03-31 10:56 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2014-07-28 18:21 - 2011-12-27 22:38 - 00000428 ____H () C:\WINDOWS\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job 2014-07-28 18:21 - 2011-12-27 21:29 - 00032424 _____ () C:\WINDOWS\SchedLgU.Txt 2014-07-28 18:12 - 2011-12-28 13:43 - 00001098 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2014-07-28 17:37 - 2014-04-09 17:52 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys 2014-07-28 17:07 - 2011-12-27 21:20 - 00000159 _____ () C:\WINDOWS\wiadebug.log 2014-07-28 17:07 - 2002-12-31 14:00 - 00002206 _____ () C:\WINDOWS\system32\wpa.dbl 2014-07-28 17:05 - 2014-07-26 10:52 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-28 17:05 - 2012-12-18 13:00 - 00000280 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-28 17:05 - 2011-12-30 00:50 - 00000050 _____ () C:\WINDOWS\wiaservc.log 2014-07-28 17:05 - 2011-12-29 18:52 - 00000280 _____ () C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-28 17:05 - 2011-12-28 13:43 - 00001094 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2014-07-28 17:05 - 2011-12-27 21:29 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT 2014-07-27 22:59 - 2013-02-24 16:39 - 00524288 _____ () C:\WINDOWS\system32\config\ACEEvent.evt 2014-07-27 22:59 - 2011-12-27 21:30 - 00000190 ___SH () C:\Dokumente und Einstellungen\Eric Fürst\ntuser.ini 2014-07-27 22:59 - 2011-12-27 21:30 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst 2014-07-27 22:58 - 2014-07-27 22:58 - 00854390 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\SecurityCheck.exe 2014-07-27 21:37 - 2014-07-27 21:37 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\esetsmartinstaller_deu.exe 2014-07-27 20:01 - 2011-12-29 18:52 - 00000288 _____ () C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 16:07 - 2012-12-18 13:00 - 00000288 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 16:05 - 2012-01-02 13:45 - 00076288 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:27 - 2014-07-26 11:32 - 00000000 ____D () C:\AdwCleaner 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 15:10 - 2014-07-26 11:06 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:43 - 00000000 ____D () C:\ComboFix 2014-07-27 12:51 - 2014-07-26 12:00 - 00000000 ____D () C:\Qoobox 2014-07-27 12:51 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService 2014-07-27 12:50 - 2002-12-31 14:00 - 00000227 _____ () C:\WINDOWS\system.ini 2014-07-27 12:33 - 2014-07-27 12:36 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-27 12:31 - 2011-12-28 20:01 - 00679444 _____ () C:\WINDOWS\setupapi.log 2014-07-27 12:31 - 2011-12-28 18:17 - 00003785 _____ () C:\WINDOWS\setupact.log 2014-07-26 13:32 - 2013-08-15 01:47 - 00000000 ____D () C:\WINDOWS\system32\MRT 2014-07-26 13:32 - 2011-12-28 13:56 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2014-07-26 12:25 - 2014-01-28 18:20 - 00097648 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avgntflt.sys 2014-07-26 12:25 - 2013-02-22 16:53 - 00136216 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avipbb.sys 2014-07-26 12:15 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\LocalService 2014-07-26 12:15 - 2011-12-27 21:17 - 00006706 _____ () C:\WINDOWS\system32\PerfStringBackup.INI 2014-07-26 12:13 - 2014-07-26 11:58 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 12:11 - 2011-12-27 22:12 - 00000000 ____D () C:\WINDOWS\system 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:10 - 2011-12-27 22:15 - 39845888 _____ () C:\WINDOWS\system32\config\software.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 06029312 _____ () C:\WINDOWS\system32\config\system.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 00786432 _____ () C:\WINDOWS\system32\config\default.bak 2014-07-26 12:10 - 2011-12-27 21:29 - 00000190 ___SH () C:\Dokumente und Einstellungen\LocalService\ntuser.ini 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SECURITY.bak 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SAM.bak 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-27 22:16 - 00000530 __RSH () C:\boot.ini 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:27 - 2014-07-26 10:52 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job 2014-07-26 11:25 - 2012-03-31 10:55 - 00699056 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe 2014-07-26 11:25 - 2011-12-28 13:46 - 00071344 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl 2014-07-26 11:20 - 2011-12-27 22:19 - 00000000 ____D () C:\WINDOWS\Microsoft.NET 2014-07-26 11:06 - 2014-01-28 21:22 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2014-07-26 11:06 - 2011-12-27 21:17 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme Files to move or delete: ==================== C:\Dokumente und Einstellungen\Eric Fürst\ptw12.exe Some content of TEMP: ==================== C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\avgnt.exe C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\Quarantine.exe C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\RstApp.exe ==================== Bamital & volsnap Check ================= (There is no automatic fix for files that do not pass verification.) C:\WINDOWS\explorer.exe => File is digitally signed C:\WINDOWS\system32\winlogon.exe => File is digitally signed C:\WINDOWS\system32\svchost.exe => File is digitally signed C:\WINDOWS\system32\services.exe => File is digitally signed C:\WINDOWS\system32\User32.dll => File is digitally signed C:\WINDOWS\system32\userinit.exe => File is digitally signed C:\WINDOWS\system32\rpcss.dll => File is digitally signed C:\WINDOWS\system32\Drivers\volsnap.sys => File is digitally signed ==================== End Of Log ============================ |
29.07.2014, 09:11 | #10 |
/// the machine /// TB-Ausbilder | Howdecrypt Virus Java und Adobe updaten. Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-19\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-20\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UwjahfaPtiwf.dll BootExecute: autocheck autochk * sdnclean.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2012-02-21] Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Frisches FRST log bitte.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
29.07.2014, 18:15 | #11 |
| Howdecrypt Virus Hallo schrauber Du bist ja der megaschrauber :-) Danke Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version:25-07-2014 Ran by Eric Fürst at 2014-07-29 17:57:42 Run:1 Running from C:\Dokumente und Einstellungen\Eric Fürst\Desktop Boot Mode: Normal ============================================== Content of fixlist: ***************** HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-19\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-20\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UwjahfaPtiwf.dll BootExecute: autocheck autochk * sdnclean.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2012-02-21] ***************** HKU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully. HKU\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully. HKU\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully. HKLM\System\CurrentControlSet\Control\SecurityProviders\\SecurityProviders => Value was restored successfully. HKLM\System\CurrentControlSet\Control\Session Manager\\BootExecute => Value was restored successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc => Moved successfully. HKLM\Software\Mozilla\Firefox\Extensions\\jqs@sun.com => Value not found. C:\Programme\Java\jre6\lib\deploy\jqs\ff => Moved successfully. ==== End of Fixlog ==== Eric FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-07-2014 Ran by Eric Fürst (administrator) on ERIC-43F538040C on 29-07-2014 19:13:44 Running from C:\Dokumente und Einstellungen\Eric Fürst\Desktop Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: Deutsch (Deutschland) Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (If an entry is included in the fixlist, the process will be closed. The file will not be moved.) (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe (Apple Inc.) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ASUSTeK COMPUTER INC.) C:\WINDOWS\ATKKBService.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe () C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE (Apple Inc.) C:\Programme\iTunes\iTunesHelper.exe (Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe () C:\Programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe (RealNetworks, Inc.) C:\Programme\Real\RealPlayer\Update\realsched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Google Inc.) C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Apple Inc.) C:\Programme\iPod\bin\iPodService.exe (ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Oracle Corporation) C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9RUDMZGL\JavaSetup7u65[1].exe (Oracle Corporation) C:\Programme\Java\jre7\bin\jqs.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe ==================== Registry (Whitelisted) ================== (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.) Winlogon\Notify\AtiExtEvent: C:\WINDOWS\system32\Ati2evxx.dll (ATI Technologies Inc.) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Run: [swg] => C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2011-12-28] (Google Inc.) HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [NoInstrumentation] 1 HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [TaskbarNoNotification] 0 ==================== Internet (Whitelisted) ==================== (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.) HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader) BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) BHO: Google Toolbar Notifier BHO -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> C:\Programme\Google\GoogleToolbarNotifier\5.7.9012.1008\swg.dll (Google Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1325015716157 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) ShellExecuteHooks: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [304128 2009-05-24] (Microsoft Corporation) Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 FireFox: ======== FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1207148.dll (Adobe Systems, Inc.) FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF Plugin: @java.com/DTPlugin,version=10.65.2 - C:\Programme\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.65.2 - C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF Plugin: @microsoft.com/WPF,version=3.5 - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @real.com/nppl3260;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer) FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-12-27] FF HKLM\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF Extension: RealDownloader - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-07-20] FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION CHR Extension: (RealDownloader) - C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2013-03-11] CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-04-16] ========================== Services (Whitelisted) ================= (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [55624 2013-09-07] (Apple Inc.) S2 ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [593920 2010-02-10] () [File not signed] R2 ATKKeyboardService; C:\WINDOWS\ATKKBService.exe [258560 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [194032 2012-08-23] (Google) S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [69632 2005-04-04] (Macrovision Corporation) [File not signed] R3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553288 2013-11-02] (Apple Inc.) R2 JavaQuickStarterService; C:\Programme\Java\jre7\bin\jqs.exe [182696 2014-07-29] (Oracle Corporation) R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation) R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation) S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) R2 RealNetworks Downloader Resolver Service; C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation) ==================== Drivers (Whitelisted) ==================== (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) S3 Ambfilt; C:\WINDOWS\System32\drivers\Ambfilt.sys [1691480 2009-11-18] (Creative) R1 AmdK8; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [43008 2005-03-09] (Advanced Micro Devices) S1 AmdPPM; C:\WINDOWS\System32\DRIVERS\AmdPPM.sys [33792 2007-04-16] (Advanced Micro Devices) R3 asusgsb; C:\WINDOWS\System32\drivers\asusgsb.sys [12416 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] R1 asuskbnt; C:\WINDOWS\System32\drivers\atkkbnt.sys [11136 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] R4 atidgllk; C:\WINDOWS\atidgllk.sys [5376 2007-09-13] (Overclocking Tool) [File not signed] R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [97648 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [136216 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-26] (Avira Operations GmbH & Co. KG) S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation) R1 EIO; C:\WINDOWS\system32\drivers\EIO.sys [12288 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] S3 HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [51024 2003-03-09] (HP) S3 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [16080 2003-03-09] (HP) S3 HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [21456 2003-03-09] (HP) R3 irsir; C:\WINDOWS\System32\DRIVERS\irsir.sys [18688 2001-08-17] (Microsoft Corporation) R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-07-29] (Malwarebytes Corporation) S3 Monfilt; C:\WINDOWS\System32\drivers\Monfilt.sys [1395800 2009-11-18] (Creative Technology Ltd.) S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation) S3 NuidFltr; C:\WINDOWS\System32\DRIVERS\NuidFltr.sys [14736 2009-05-09] (Microsoft Corporation) R3 NVENETFD; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [52736 2006-03-22] (NVIDIA Corporation) R3 nvnetbus; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [18944 2006-03-22] (NVIDIA Corporation) R3 Rasirda; C:\WINDOWS\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation) S3 rt2870; C:\WINDOWS\System32\DRIVERS\Drt2870.sys [829152 2010-05-06] (Ralink Technology, Corp.) S3 SONYPVU1; C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [7552 2001-08-17] (Sony Corporation) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-12-18] (Avira GmbH) R2 SSPORT; C:\WINDOWS\system32\Drivers\SSPORT.sys [5120 2012-02-15] (Samsung Electronics) [File not signed] S3 USBAAPL; C:\WINDOWS\System32\Drivers\usbaapl.sys [43520 2012-02-15] (Apple, Inc.) [File not signed] R3 Video3D; C:\WINDOWS\System32\Drivers\Video3D32.sys [10752 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S3 catchme; \??\C:\DOKUME~1\ERICFR~1\LOKALE~1\Temp\catchme.sys [X] S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; No ImagePath S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] U3 TrueSight; \??\C:\WINDOWS\system32\TrueSight.sys [X] ==================== NetSvcs (Whitelisted) =================== (If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.) ==================== One Month Created Files and Folders ======== (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-29 19:13 - 2014-07-29 19:14 - 00017605 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-29 17:52 - 2014-07-29 17:52 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Sun 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\Java 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun 2014-07-29 17:50 - 2014-07-29 17:50 - 00272808 _____ (Oracle Corporation) C:\WINDOWS\system32\javaws.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\javaw.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\java.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00096680 _____ (Oracle Corporation) C:\WINDOWS\system32\WindowsAccessBridge.dll 2014-07-29 17:50 - 2014-07-29 17:50 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Java 2014-07-29 17:48 - 2014-07-29 17:48 - 00001804 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk 2014-07-29 17:48 - 2014-07-29 17:48 - 00001728 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk 2014-07-28 18:37 - 2014-07-28 18:37 - 00000895 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\checkup.txt 2014-07-27 22:58 - 2014-07-27 22:58 - 00854390 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\SecurityCheck.exe 2014-07-27 21:37 - 2014-07-27 21:37 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\esetsmartinstaller_deu.exe 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 12:51 - 2014-07-29 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:43 - 2014-07-27 12:51 - 00000000 ____D () C:\ComboFix 2014-07-27 12:36 - 2014-07-27 12:33 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-28 18:06 - 00000413 _____ () C:\Boot.bak 2014-07-26 12:03 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr 2014-07-26 12:00 - 2014-07-27 12:51 - 00000000 ____D () C:\Qoobox 2014-07-26 12:00 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe 2014-07-26 12:00 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe 2014-07-26 12:00 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe 2014-07-26 11:58 - 2014-07-26 12:13 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:33 - 2010-08-30 08:34 - 00536576 _____ (SQLite Development Team) C:\WINDOWS\system32\sqlite3.dll 2014-07-26 11:32 - 2014-07-27 15:27 - 00000000 ____D () C:\AdwCleaner 2014-07-26 11:06 - 2014-07-27 15:10 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-07-26 11:06 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-07-26 10:52 - 2014-07-29 17:35 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-26 10:52 - 2014-07-26 11:27 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job ==================== One Month Modified Files and Folders ======= (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-29 19:14 - 2014-07-29 19:13 - 00017605 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-29 19:14 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-29 19:13 - 2014-01-30 23:17 - 00000000 ____D () C:\FRST 2014-07-29 19:12 - 2011-12-28 13:43 - 00001098 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2014-07-29 19:08 - 2011-12-27 22:38 - 00000428 ____H () C:\WINDOWS\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job 2014-07-29 18:25 - 2012-03-31 10:56 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2014-07-29 18:07 - 2014-04-09 17:52 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys 2014-07-29 17:52 - 2014-07-29 17:52 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Sun 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\Java 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun 2014-07-29 17:50 - 2014-07-29 17:50 - 00272808 _____ (Oracle Corporation) C:\WINDOWS\system32\javaws.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\javaw.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\java.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00096680 _____ (Oracle Corporation) C:\WINDOWS\system32\WindowsAccessBridge.dll 2014-07-29 17:50 - 2014-07-29 17:50 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Java 2014-07-29 17:50 - 2012-02-21 17:33 - 00145408 _____ (Oracle Corporation) C:\WINDOWS\system32\javacpl.cpl 2014-07-29 17:50 - 2012-02-21 17:33 - 00000000 ____D () C:\Programme\Java 2014-07-29 17:50 - 2011-12-27 21:17 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme 2014-07-29 17:48 - 2014-07-29 17:48 - 00001804 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk 2014-07-29 17:48 - 2014-07-29 17:48 - 00001728 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk 2014-07-29 17:48 - 2011-12-28 13:43 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\Adobe 2014-07-29 17:47 - 2011-12-28 13:43 - 00000000 ____D () C:\Programme\Adobe 2014-07-29 17:47 - 2011-12-28 13:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2014-07-29 17:43 - 2011-12-27 21:26 - 02096166 _____ () C:\WINDOWS\WindowsUpdate.log 2014-07-29 17:37 - 2011-12-27 21:20 - 00000159 _____ () C:\WINDOWS\wiadebug.log 2014-07-29 17:37 - 2002-12-31 14:00 - 00002206 _____ () C:\WINDOWS\system32\wpa.dbl 2014-07-29 17:35 - 2014-07-26 10:52 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-29 17:35 - 2012-12-18 13:00 - 00000280 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-29 17:35 - 2011-12-30 00:50 - 00000050 _____ () C:\WINDOWS\wiaservc.log 2014-07-29 17:35 - 2011-12-29 18:52 - 00000280 _____ () C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-29 17:35 - 2011-12-28 13:43 - 00001094 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2014-07-29 17:35 - 2011-12-27 21:29 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT 2014-07-28 21:57 - 2013-02-24 16:39 - 00524288 _____ () C:\WINDOWS\system32\config\ACEEvent.evt 2014-07-28 21:57 - 2011-12-27 21:30 - 00000190 ___SH () C:\Dokumente und Einstellungen\Eric Fürst\ntuser.ini 2014-07-28 21:57 - 2011-12-27 21:30 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst 2014-07-28 21:57 - 2011-12-27 21:29 - 00032424 _____ () C:\WINDOWS\SchedLgU.Txt 2014-07-28 18:37 - 2014-07-28 18:37 - 00000895 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\checkup.txt 2014-07-28 18:31 - 2011-12-27 21:17 - 00000000 ___RD () C:\Programme 2014-07-27 22:58 - 2014-07-27 22:58 - 00854390 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\SecurityCheck.exe 2014-07-27 21:37 - 2014-07-27 21:37 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\esetsmartinstaller_deu.exe 2014-07-27 20:01 - 2011-12-29 18:52 - 00000288 _____ () C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 16:07 - 2012-12-18 13:00 - 00000288 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 16:05 - 2012-01-02 13:45 - 00076288 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:27 - 2014-07-26 11:32 - 00000000 ____D () C:\AdwCleaner 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 15:10 - 2014-07-26 11:06 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:43 - 00000000 ____D () C:\ComboFix 2014-07-27 12:51 - 2014-07-26 12:00 - 00000000 ____D () C:\Qoobox 2014-07-27 12:51 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService 2014-07-27 12:50 - 2002-12-31 14:00 - 00000227 _____ () C:\WINDOWS\system.ini 2014-07-27 12:33 - 2014-07-27 12:36 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-27 12:31 - 2011-12-28 20:01 - 00679444 _____ () C:\WINDOWS\setupapi.log 2014-07-27 12:31 - 2011-12-28 18:17 - 00003785 _____ () C:\WINDOWS\setupact.log 2014-07-26 13:32 - 2013-08-15 01:47 - 00000000 ____D () C:\WINDOWS\system32\MRT 2014-07-26 13:32 - 2011-12-28 13:56 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2014-07-26 12:25 - 2014-01-28 18:20 - 00097648 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avgntflt.sys 2014-07-26 12:25 - 2013-02-22 16:53 - 00136216 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avipbb.sys 2014-07-26 12:15 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\LocalService 2014-07-26 12:15 - 2011-12-27 21:17 - 00006706 _____ () C:\WINDOWS\system32\PerfStringBackup.INI 2014-07-26 12:13 - 2014-07-26 11:58 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 12:11 - 2011-12-27 22:12 - 00000000 ____D () C:\WINDOWS\system 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:10 - 2011-12-27 22:15 - 39845888 _____ () C:\WINDOWS\system32\config\software.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 06029312 _____ () C:\WINDOWS\system32\config\system.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 00786432 _____ () C:\WINDOWS\system32\config\default.bak 2014-07-26 12:10 - 2011-12-27 21:29 - 00000190 ___SH () C:\Dokumente und Einstellungen\LocalService\ntuser.ini 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SECURITY.bak 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SAM.bak 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-27 22:16 - 00000530 __RSH () C:\boot.ini 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:27 - 2014-07-26 10:52 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job 2014-07-26 11:25 - 2012-03-31 10:55 - 00699056 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe 2014-07-26 11:25 - 2011-12-28 13:46 - 00071344 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl 2014-07-26 11:20 - 2011-12-27 22:19 - 00000000 ____D () C:\WINDOWS\Microsoft.NET 2014-07-26 11:06 - 2014-01-28 21:22 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes Files to move or delete: ==================== C:\Dokumente und Einstellungen\Eric Fürst\ptw12.exe Some content of TEMP: ==================== C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\avgnt.exe C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\Quarantine.exe C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\RstApp.exe ==================== Bamital & volsnap Check ================= (There is no automatic fix for files that do not pass verification.) C:\WINDOWS\explorer.exe => File is digitally signed C:\WINDOWS\system32\winlogon.exe => File is digitally signed C:\WINDOWS\system32\svchost.exe => File is digitally signed C:\WINDOWS\system32\services.exe => File is digitally signed C:\WINDOWS\system32\User32.dll => File is digitally signed C:\WINDOWS\system32\userinit.exe => File is digitally signed C:\WINDOWS\system32\rpcss.dll => File is digitally signed C:\WINDOWS\system32\Drivers\volsnap.sys => File is digitally signed ==================== End Of Log ============================ --- --- --- |
30.07.2014, 13:41 | #12 |
/// the machine /// TB-Ausbilder | Howdecrypt Virus Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
30.07.2014, 15:53 | #13 |
| Howdecrypt Virus Hi MEGA schrauber ;-) FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-07-2014 Ran by Eric Fürst (administrator) on ERIC-43F538040C on 30-07-2014 16:51:09 Running from C:\Dokumente und Einstellungen\Eric Fürst\Desktop Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: Deutsch (Deutschland) Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (If an entry is included in the fixlist, the process will be closed. The file will not be moved.) (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (ATI Technologies Inc.) C:\WINDOWS\system32\ati2evxx.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe (Apple Inc.) C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ASUSTeK COMPUTER INC.) C:\WINDOWS\ATKKBService.exe (Oracle Corporation) C:\Programme\Java\jre7\bin\jqs.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe () C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE (Apple Inc.) C:\Programme\iTunes\iTunesHelper.exe () C:\Programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe (RealNetworks, Inc.) C:\Programme\Real\RealPlayer\Update\realsched.exe (Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Oracle Corporation) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Google Inc.) C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Apple Inc.) C:\Programme\iPod\bin\iPodService.exe (ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe ==================== Registry (Whitelisted) ================== (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.) Winlogon\Notify\AtiExtEvent: C:\WINDOWS\system32\Ati2evxx.dll (ATI Technologies Inc.) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\.DEFAULT\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-19\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-20\...\Winlogon: [Shell] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\igtlcyc\qyjm.exe,explorer.exe <==== ATTENTION HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Run: [swg] => C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2011-12-28] (Google Inc.) HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [NoInstrumentation] 1 HKU\S-1-5-21-854245398-606747145-1801674531-1003\...\Policies\Explorer: [TaskbarNoNotification] 0 ==================== Internet (Whitelisted) ==================== (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.) HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader) BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) BHO: Google Toolbar Notifier BHO -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> C:\Programme\Google\GoogleToolbarNotifier\5.7.9012.1008\swg.dll (Google Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1325015716157 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) ShellExecuteHooks: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [304128 2009-05-24] (Microsoft Corporation) Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 FireFox: ======== FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1207148.dll (Adobe Systems, Inc.) FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF Plugin: @java.com/DTPlugin,version=10.65.2 - C:\Programme\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.65.2 - C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF Plugin: @microsoft.com/WPF,version=3.5 - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @real.com/nppl3260;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 - c:\programme\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer) FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Programme\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-12-27] FF HKLM\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF Extension: RealDownloader - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-07-20] FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION CHR Extension: (RealDownloader) - C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2013-03-11] CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-04-16] ========================== Services (Whitelisted) ================= (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [430160 2014-07-26] (Avira Operations GmbH & Co. KG) R2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [55624 2013-09-07] (Apple Inc.) S2 ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [593920 2010-02-10] () [File not signed] R2 ATKKeyboardService; C:\WINDOWS\ATKKBService.exe [258560 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S2 gupdate; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gupdatem; C:\Programme\Google\Update\GoogleUpdate.exe [136176 2011-12-28] (Google Inc.) S3 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [194032 2012-08-23] (Google) S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [69632 2005-04-04] (Macrovision Corporation) [File not signed] R3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [553288 2013-11-02] (Apple Inc.) R2 JavaQuickStarterService; C:\Programme\Java\jre7\bin\jqs.exe [182696 2014-07-29] (Oracle Corporation) R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation) R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation) S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) R2 RealNetworks Downloader Resolver Service; C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation) ==================== Drivers (Whitelisted) ==================== (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) S3 Ambfilt; C:\WINDOWS\System32\drivers\Ambfilt.sys [1691480 2009-11-18] (Creative) R1 AmdK8; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [43008 2005-03-09] (Advanced Micro Devices) S1 AmdPPM; C:\WINDOWS\System32\DRIVERS\AmdPPM.sys [33792 2007-04-16] (Advanced Micro Devices) R3 asusgsb; C:\WINDOWS\System32\drivers\asusgsb.sys [12416 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] R1 asuskbnt; C:\WINDOWS\System32\drivers\atkkbnt.sys [11136 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] R4 atidgllk; C:\WINDOWS\atidgllk.sys [5376 2007-09-13] (Overclocking Tool) [File not signed] R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [97648 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [136216 2014-07-26] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-26] (Avira Operations GmbH & Co. KG) S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation) R1 EIO; C:\WINDOWS\system32\drivers\EIO.sys [12288 2007-09-13] (ASUSTeK Computer Inc.) [File not signed] S3 HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [51024 2003-03-09] (HP) S3 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [16080 2003-03-09] (HP) S3 HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [21456 2003-03-09] (HP) R3 irsir; C:\WINDOWS\System32\DRIVERS\irsir.sys [18688 2001-08-17] (Microsoft Corporation) R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-07-30] (Malwarebytes Corporation) S3 Monfilt; C:\WINDOWS\System32\drivers\Monfilt.sys [1395800 2009-11-18] (Creative Technology Ltd.) S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation) S3 NuidFltr; C:\WINDOWS\System32\DRIVERS\NuidFltr.sys [14736 2009-05-09] (Microsoft Corporation) R3 NVENETFD; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [52736 2006-03-22] (NVIDIA Corporation) R3 nvnetbus; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [18944 2006-03-22] (NVIDIA Corporation) R3 Rasirda; C:\WINDOWS\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation) S3 rt2870; C:\WINDOWS\System32\DRIVERS\Drt2870.sys [829152 2010-05-06] (Ralink Technology, Corp.) S3 SONYPVU1; C:\WINDOWS\System32\DRIVERS\SONYPVU1.SYS [7552 2001-08-17] (Sony Corporation) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-12-18] (Avira GmbH) R2 SSPORT; C:\WINDOWS\system32\Drivers\SSPORT.sys [5120 2012-02-15] (Samsung Electronics) [File not signed] S3 USBAAPL; C:\WINDOWS\System32\Drivers\usbaapl.sys [43520 2012-02-15] (Apple, Inc.) [File not signed] R3 Video3D; C:\WINDOWS\System32\Drivers\Video3D32.sys [10752 2007-09-13] (ASUSTeK COMPUTER INC.) [File not signed] S3 catchme; \??\C:\DOKUME~1\ERICFR~1\LOKALE~1\Temp\catchme.sys [X] S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; No ImagePath S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] U3 TrueSight; \??\C:\WINDOWS\system32\TrueSight.sys [X] ==================== NetSvcs (Whitelisted) =================== (If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.) ==================== One Month Created Files and Folders ======== (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-30 16:51 - 2014-07-30 16:51 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Adobe 2014-07-29 19:13 - 2014-07-30 16:51 - 00017815 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-29 17:52 - 2014-07-29 17:52 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Sun 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\Java 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun 2014-07-29 17:50 - 2014-07-29 17:50 - 00272808 _____ (Oracle Corporation) C:\WINDOWS\system32\javaws.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\javaw.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\java.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00096680 _____ (Oracle Corporation) C:\WINDOWS\system32\WindowsAccessBridge.dll 2014-07-29 17:50 - 2014-07-29 17:50 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Java 2014-07-29 17:48 - 2014-07-29 17:48 - 00001804 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk 2014-07-29 17:48 - 2014-07-29 17:48 - 00001728 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk 2014-07-28 18:37 - 2014-07-28 18:37 - 00000895 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\checkup.txt 2014-07-27 22:58 - 2014-07-27 22:58 - 00854390 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\SecurityCheck.exe 2014-07-27 21:37 - 2014-07-27 21:37 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\esetsmartinstaller_deu.exe 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 12:51 - 2014-07-30 16:51 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:43 - 2014-07-27 12:51 - 00000000 ____D () C:\ComboFix 2014-07-27 12:36 - 2014-07-27 12:33 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-28 18:06 - 00000413 _____ () C:\Boot.bak 2014-07-26 12:03 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr 2014-07-26 12:00 - 2014-07-27 12:51 - 00000000 ____D () C:\Qoobox 2014-07-26 12:00 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe 2014-07-26 12:00 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe 2014-07-26 12:00 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe 2014-07-26 12:00 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe 2014-07-26 11:58 - 2014-07-26 12:13 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:33 - 2010-08-30 08:34 - 00536576 _____ (SQLite Development Team) C:\WINDOWS\system32\sqlite3.dll 2014-07-26 11:32 - 2014-07-27 15:27 - 00000000 ____D () C:\AdwCleaner 2014-07-26 11:06 - 2014-07-27 15:10 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-07-27 15:10 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-26 11:06 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-07-26 11:06 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-07-26 10:52 - 2014-07-30 16:35 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-26 10:52 - 2014-07-26 11:27 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job ==================== One Month Modified Files and Folders ======= (If an entry is included in the fixlist, the file\folder will be moved.) 2014-07-30 16:51 - 2014-07-30 16:51 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Adobe 2014-07-30 16:51 - 2014-07-29 19:13 - 00017815 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.txt 2014-07-30 16:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp 2014-07-30 16:51 - 2014-01-30 23:17 - 00000000 ____D () C:\FRST 2014-07-30 16:40 - 2011-12-27 22:38 - 00000428 ____H () C:\WINDOWS\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job 2014-07-30 16:38 - 2011-12-27 21:26 - 01066548 _____ () C:\WINDOWS\WindowsUpdate.log 2014-07-30 16:37 - 2014-04-09 17:52 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys 2014-07-30 16:37 - 2011-12-27 21:20 - 00000159 _____ () C:\WINDOWS\wiadebug.log 2014-07-30 16:37 - 2002-12-31 14:00 - 00002206 _____ () C:\WINDOWS\system32\wpa.dbl 2014-07-30 16:35 - 2014-07-26 10:52 - 00000232 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-07-30 16:35 - 2012-12-18 13:00 - 00000280 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-30 16:35 - 2011-12-30 00:50 - 00000050 _____ () C:\WINDOWS\wiaservc.log 2014-07-30 16:35 - 2011-12-29 18:52 - 00000280 _____ () C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-30 16:35 - 2011-12-28 13:43 - 00001094 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job 2014-07-30 16:35 - 2011-12-27 21:29 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT 2014-07-29 21:00 - 2013-02-24 16:39 - 00524288 _____ () C:\WINDOWS\system32\config\ACEEvent.evt 2014-07-29 21:00 - 2011-12-27 21:30 - 00000190 ___SH () C:\Dokumente und Einstellungen\Eric Fürst\ntuser.ini 2014-07-29 21:00 - 2011-12-27 21:30 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst 2014-07-29 21:00 - 2011-12-27 21:29 - 00032424 _____ () C:\WINDOWS\SchedLgU.Txt 2014-07-29 20:25 - 2012-03-31 10:56 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2014-07-29 20:12 - 2011-12-28 13:43 - 00001098 _____ () C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job 2014-07-29 17:52 - 2014-07-29 17:52 - 00000000 ____D () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Sun 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\Java 2014-07-29 17:51 - 2014-07-29 17:51 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun 2014-07-29 17:50 - 2014-07-29 17:50 - 00272808 _____ (Oracle Corporation) C:\WINDOWS\system32\javaws.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\javaw.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00175528 _____ (Oracle Corporation) C:\WINDOWS\system32\java.exe 2014-07-29 17:50 - 2014-07-29 17:50 - 00096680 _____ (Oracle Corporation) C:\WINDOWS\system32\WindowsAccessBridge.dll 2014-07-29 17:50 - 2014-07-29 17:50 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Java 2014-07-29 17:50 - 2012-02-21 17:33 - 00145408 _____ (Oracle Corporation) C:\WINDOWS\system32\javacpl.cpl 2014-07-29 17:50 - 2012-02-21 17:33 - 00000000 ____D () C:\Programme\Java 2014-07-29 17:50 - 2011-12-27 21:17 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme 2014-07-29 17:48 - 2014-07-29 17:48 - 00001804 _____ () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk 2014-07-29 17:48 - 2014-07-29 17:48 - 00001728 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk 2014-07-29 17:48 - 2011-12-28 13:43 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\Adobe 2014-07-29 17:47 - 2011-12-28 13:43 - 00000000 ____D () C:\Programme\Adobe 2014-07-29 17:47 - 2011-12-28 13:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2014-07-28 18:37 - 2014-07-28 18:37 - 00000895 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\checkup.txt 2014-07-28 18:31 - 2011-12-27 21:17 - 00000000 ___RD () C:\Programme 2014-07-27 22:58 - 2014-07-27 22:58 - 00854390 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\SecurityCheck.exe 2014-07-27 21:37 - 2014-07-27 21:37 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\esetsmartinstaller_deu.exe 2014-07-27 20:01 - 2011-12-29 18:52 - 00000288 _____ () C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 16:07 - 2012-12-18 13:00 - 00000288 _____ () C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job 2014-07-27 16:05 - 2012-01-02 13:45 - 00076288 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2014-07-27 15:50 - 2014-07-27 15:50 - 01084416 _____ (Farbar) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\FRST.exe 2014-07-27 15:43 - 2014-07-27 15:43 - 00000609 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.txt 2014-07-27 15:31 - 2014-07-27 15:31 - 00001179 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\AdwCleaner[S1].txt 2014-07-27 15:27 - 2014-07-26 11:32 - 00000000 ____D () C:\AdwCleaner 2014-07-27 15:25 - 2014-07-27 15:25 - 00001164 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam.txt 2014-07-27 15:13 - 2014-07-27 15:13 - 01354223 _____ () C:\Dokumente und Einstellungen\Eric Fürst\Desktop\adwcleaner_3.216.exe 2014-07-27 15:13 - 2014-07-27 15:13 - 01016261 _____ (Thisisu) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\JRT.exe 2014-07-27 15:10 - 2014-07-27 15:10 - 17292760 _____ (Malwarebytes Corporation ) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\mbam-setup-2.0.2.1012.exe 2014-07-27 15:10 - 2014-07-26 11:06 - 00000779 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-07-27 15:10 - 2014-07-26 11:06 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-07-27 12:51 - 2014-07-27 12:51 - 00010628 _____ () C:\ComboFix.txt 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:51 - 00000000 ____D () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\temp 2014-07-27 12:51 - 2014-07-27 12:43 - 00000000 ____D () C:\ComboFix 2014-07-27 12:51 - 2014-07-26 12:00 - 00000000 ____D () C:\Qoobox 2014-07-27 12:51 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService 2014-07-27 12:50 - 2002-12-31 14:00 - 00000227 _____ () C:\WINDOWS\system.ini 2014-07-27 12:33 - 2014-07-27 12:36 - 05563277 ____R (Swearware) C:\Dokumente und Einstellungen\Eric Fürst\Desktop\ComboFix.exe 2014-07-27 12:31 - 2011-12-28 20:01 - 00679444 _____ () C:\WINDOWS\setupapi.log 2014-07-27 12:31 - 2011-12-28 18:17 - 00003785 _____ () C:\WINDOWS\setupact.log 2014-07-26 13:32 - 2013-08-15 01:47 - 00000000 ____D () C:\WINDOWS\system32\MRT 2014-07-26 13:32 - 2011-12-28 13:56 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2014-07-26 12:25 - 2014-01-28 18:20 - 00097648 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avgntflt.sys 2014-07-26 12:25 - 2013-02-22 16:53 - 00136216 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avipbb.sys 2014-07-26 12:15 - 2011-12-27 21:29 - 00000000 __SHD () C:\Dokumente und Einstellungen\LocalService 2014-07-26 12:15 - 2011-12-27 21:17 - 00006706 _____ () C:\WINDOWS\system32\PerfStringBackup.INI 2014-07-26 12:13 - 2014-07-26 11:58 - 00000000 ____D () C:\WINDOWS\erdnt 2014-07-26 12:11 - 2011-12-27 22:12 - 00000000 ____D () C:\WINDOWS\system 2014-07-26 12:10 - 2014-07-26 12:10 - 00008192 ____H () C:\WINDOWS\system32\config\SECURITY.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\system.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\software.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\SAM.tmp.LOG 2014-07-26 12:10 - 2014-07-26 12:10 - 00000000 ____H () C:\WINDOWS\system32\config\default.tmp.LOG 2014-07-26 12:10 - 2011-12-27 22:15 - 39845888 _____ () C:\WINDOWS\system32\config\software.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 06029312 _____ () C:\WINDOWS\system32\config\system.bak 2014-07-26 12:10 - 2011-12-27 22:15 - 00786432 _____ () C:\WINDOWS\system32\config\default.bak 2014-07-26 12:10 - 2011-12-27 21:29 - 00000190 ___SH () C:\Dokumente und Einstellungen\LocalService\ntuser.ini 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SECURITY.bak 2014-07-26 12:10 - 2011-12-27 21:16 - 00262144 _____ () C:\WINDOWS\system32\config\SAM.bak 2014-07-26 12:03 - 2014-07-26 12:03 - 00000000 _RSHD () C:\cmdcons 2014-07-26 12:03 - 2011-12-27 22:16 - 00000530 __RSH () C:\boot.ini 2014-07-26 11:42 - 2014-07-26 11:42 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-07-26 11:27 - 2014-07-26 10:52 - 00000226 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job 2014-07-26 11:25 - 2012-03-31 10:55 - 00699056 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe 2014-07-26 11:25 - 2011-12-28 13:46 - 00071344 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl 2014-07-26 11:20 - 2011-12-27 22:19 - 00000000 ____D () C:\WINDOWS\Microsoft.NET 2014-07-26 11:06 - 2014-01-28 21:22 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes Files to move or delete: ==================== C:\Dokumente und Einstellungen\Eric Fürst\ptw12.exe Some content of TEMP: ==================== C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\avgnt.exe C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\Quarantine.exe C:\Dokumente und Einstellungen\Eric Fürst\Lokale Einstellungen\temp\RstApp.exe ==================== Bamital & volsnap Check ================= (There is no automatic fix for files that do not pass verification.) C:\WINDOWS\explorer.exe => File is digitally signed C:\WINDOWS\system32\winlogon.exe => File is digitally signed C:\WINDOWS\system32\svchost.exe => File is digitally signed C:\WINDOWS\system32\services.exe => File is digitally signed C:\WINDOWS\system32\User32.dll => File is digitally signed C:\WINDOWS\system32\userinit.exe => File is digitally signed C:\WINDOWS\system32\rpcss.dll => File is digitally signed C:\WINDOWS\system32\Drivers\volsnap.sys => File is digitally signed ==================== End Of Log ============================ Dankeee und Gruss Eric |
31.07.2014, 10:34 | #14 |
/// the machine /// TB-Ausbilder | Howdecrypt Virus Das Ding ist hartnäckig. Combofix löschen und neu laden, laufen lassen und Logfile posten bitte.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
31.07.2014, 18:47 | #15 |
| Howdecrypt Virus Was ist denn das für ein "Ding"? Wie heisst das was du findest? und wo ist das? würde mich mega interessieren. Code:
ATTFilter ComboFix 14-07-31.02 - Eric Fürst 31.07.2014 19:35:05.3.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.2047.1092 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Eric Fürst\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . ((((((((((((((((((((((( Dateien erstellt von 2014-06-28 bis 2014-07-31 )))))))))))))))))))))))))))))) . . 2014-07-30 14:51 . 2014-07-30 14:51 -------- d-----w- c:\dokumente und einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Adobe 2014-07-29 15:52 . 2014-07-29 15:52 -------- d-----w- c:\dokumente und einstellungen\Eric Fürst\Lokale Einstellungen\Anwendungsdaten\Sun 2014-07-29 15:51 . 2014-07-29 15:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2014-07-29 15:50 . 2014-07-29 15:50 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll 2014-07-26 09:42 . 2014-07-26 09:42 -------- d-----w- c:\windows\ERUNT 2014-07-26 09:33 . 2010-08-30 06:34 536576 ----a-w- c:\windows\system32\sqlite3.dll 2014-07-26 09:32 . 2014-07-27 13:27 -------- d-----w- C:\AdwCleaner 2014-07-26 09:06 . 2014-07-27 13:10 -------- d-----w- c:\programme\ Malwarebytes Anti-Malware 2014-07-26 09:06 . 2014-05-12 05:26 53208 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys 2014-07-26 09:06 . 2014-05-12 05:25 23256 ----a-w- c:\windows\system32\drivers\mbam.sys . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2014-07-31 17:28 . 2014-04-09 15:52 110296 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2014-07-29 15:50 . 2012-02-21 15:33 145408 ----a-w- c:\windows\system32\javacpl.cpl 2014-07-26 10:25 . 2014-01-28 16:20 97648 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2014-07-26 10:25 . 2013-02-22 14:53 136216 ----a-w- c:\windows\system32\drivers\avipbb.sys 2014-07-26 09:25 . 2012-03-31 08:55 699056 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2014-07-26 09:25 . 2011-12-28 11:46 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-12-28 39408] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2011-12-05 20065384] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2013-09-13 59720] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2013-11-01 152392] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440] "CDAServer"="c:\programme\Gemeinsame Dateien\Common Desktop Agent\CDASrv.exe" [2012-02-20 344064] "TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2013-07-20 295512] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2013-05-01 421888] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2014-07-26 750160] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2014-05-08 959904] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2014-07-11 256896] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 0 (0x0) "HideSCAHealth"= 0 (0x0) . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 0 (0x0) . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] . [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon] "shell"=hex(c77520):43,00,3a,00,5c,00,44,00,6f,00,6b,00,75,00,6d,00,65,00,6e,\ . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\WINDOWS\\twain_32\\Samsung\\CLX3300\\SCNSearch\\USDAgent.exe"= "c:\\Programme\\Samsung\\Easy Document Creator\\USDAgent.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\IDS.Application.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\OrderSupplies.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\IDSAlert.exe"= "c:\\Programme\\Samsung\\Easy Printer Manager\\CDAS2PC\\CDAS2PC.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [22.02.2013 16:53 37352] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.01.2014 18:20 430160] R2 MBAMScheduler;MBAMScheduler;c:\programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [26.07.2014 11:06 1809720] R2 MBAMService;MBAMService;c:\programme\ Malwarebytes Anti-Malware \mbamservice.exe [26.07.2014 11:06 860472] R2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\programme\RealNetworks\RealDownloader\rndlresolversvc.exe [16.04.2013 03:07 39056] R2 SSPORT;SSPORT;c:\windows\system32\drivers\SSPORT.sys [15.02.2012 15:16 5120] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [26.07.2014 11:06 23256] R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [09.04.2014 17:52 110296] R4 atidgllk;atidgllk;c:\windows\atidgllk.sys [27.12.2011 21:49 5376] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27.12.2011 22:42 1691480] S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys --> c:\windows\system32\DRIVERS\RTL8192su.sys [?] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - MBAMSWISSARMY . Inhalt des "geplante Tasks" Ordners . 2014-07-31 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 09:25] . 2014-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57] . 2014-07-31 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job - c:\windows\system32\xp_eos.exe [2014-05-28 23:28] . 2014-07-26 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job - c:\windows\system32\xp_eos.exe [2014-05-28 23:28] . 2014-07-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-12-28 11:43] . 2014-07-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-12-28 11:43] . 2014-07-31 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-27 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-31 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-27 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-854245398-606747145-1801674531-1003.job - c:\programme\Real\RealUpgrade\realupgrade.exe [2013-04-16 10:45] . 2014-07-31 c:\windows\Tasks\User_Feed_Synchronization-{286F6255-34E5-4D0D-8D6B-50492CFF55F3}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2014-07-31 19:40 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(1376) c:\windows\system32\Ati2evxx.dll . - - - - - - - > 'explorer.exe'(3948) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2014-07-31 19:41:36 ComboFix-quarantined-files.txt 2014-07-31 17:41 ComboFix2.txt 2014-07-27 10:51 ComboFix3.txt 2014-07-26 10:15 . Vor Suchlauf: 12 Verzeichnis(se), 162'211'762'176 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 162'307'534'848 Bytes frei . - - End Of File - - E21BD2D40D326B0B8EEB365193B68ECD 72B8CE41AF0DE751C946802B3ED844B4 Gruss und tnx Eric Geändert von 2fast4al (31.07.2014 um 18:54 Uhr) |
Themen zu Howdecrypt Virus |
192.168.0.2, adobe, antivir, askbar, avg, avira, branding, combofix, computer, desktop, downloader, einstellungen, explorer, flash player, google, howdecrypt, internet, internet explorer, preferences, realtek, registrierungsdatenbank, registry, schannel.dll, schutz, security, tcp, usb, virus, windows, windows xp, winlogon.exe |