Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Detekt meldet Verseuchung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 24.11.2014, 13:20   #1
Opa_pa
 
Detekt meldet Verseuchung - Standard

Detekt meldet Verseuchung



Hallo zusammen,

ich halte mich für einen vorsichtigen Menschen, was das Internet angeht. In der vergangenen Woche hat Spiegel Online das von Amnesty International herusgebrachte Programm DETEKT vorgestellt. Es soll Malware, insbesondere Abhörsoftware aller Art finden.

Laut Detekt, habe ich massiven Trojaner-Befall:
Njrat, ShadowTech RAT, GhOst, XtremeRAT, Hacking Team RSC Scout, Hacking Team RSC Backdoor, FinFisher Finspy.

Erstaunlicherweise haben weder Avira, noch AVAST irgendwelche Probleme gefunden.

Was schlagt Ihr vor. Was ist zu tun?

Den Logfile von Detekt poste ich gerne, falls gewünscht.

Ich hoffe, Ihr könnt mir hier helfen!

Beste Grüße

Opa_pa

Alt 24.11.2014, 13:24   #2
Warlord711
/// TB-Ausbilder
 
Detekt meldet Verseuchung - Standard

Detekt meldet Verseuchung



Hallo Opa_pa



Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Hier findest du die Anleitung für Hilfesuchende
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg.

Wir "arbeiten" hier alle freiwillig und in unserer Freizeit *hust*. Daher kann es bei Antworten zu Verzögerungen kommen.
Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist.


So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Cursor zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)



Und die Detekt Logfiles bitte posten !
__________________

__________________

Alt 24.11.2014, 13:52   #3
Opa_pa
 
Detekt meldet Verseuchung - Standard

Detekt Logfile



Hallo Timo,

danke für Deine Antwort.

Ich schick Dir schon mal den Detekt-Logfile. Habe zweimal gescannt. Einmal am 20.11.14 (da hatte ich noch Avira installiert) und einmal heute (Nachdem Detekt Verseuchung am 20.11. gemeldet hatte, bin ich auf AVAST umgestiegen).


Ist zu lang zum Einfügen, Logfile "detekt.txt" daher als Anhang (gezipt)

Grüße, Gregor
__________________

Alt 24.11.2014, 14:25   #4
Opa_pa
 
Detekt meldet Verseuchung - Standard

FRST und Addition-Logfiles



Hallo,

hier die Logfiles von FRST

FRST:

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 23-11-2014
Ran by Ruebe (administrator) on RUEBE-PC on 24-11-2014 13:29:41
Running from C:\Users\Ruebe\Downloads
Loaded Profile: Ruebe (Available profiles: Ruebe)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(Logitech Inc.) C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastSvc.exe
(Avast Software) C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe
(AVAST Software) C:\Program Files\AVAST Software\Avast\avastui.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Microsoft Corporation) C:\Windows\System32\wbem\unsecapp.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe
() C:\Users\Ruebe\Downloads\detekt.exe
() C:\Users\Ruebe\Downloads\detekt.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Thunderbird\thunderbird.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated)
HKLM\...\Run: [AvastUI.exe] => C:\Program Files\AVAST Software\Avast\AvastUI.exe [5226600 2014-11-21] (AVAST Software)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software)

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\S-1-5-21-1503516029-2606972506-1266013851-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKU\S-1-5-21-1503516029-2606972506-1266013851-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x0083BFDE7669CF01
HKU\S-1-5-21-1503516029-2606972506-1266013851-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Ruebe\AppData\Roaming\Mozilla\Firefox\Profiles\2t76mic6.default-1402910973662
FF DefaultSearchEngine: Startpage (SSL)
FF SelectedSearchEngine: Startpage (SSL)
FF Homepage: spiegel.de
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_15_0_0_223.dll ()
FF Plugin: @nvidia.com/3DVision -> C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin: @nvidia.com/3DVisionStreaming -> C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-1503516029-2606972506-1266013851-1000: @Google.com/GoogleEarthPlugin -> C:\Users\Ruebe\AppData\Local\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF SearchPlugin: C:\Users\Ruebe\AppData\Roaming\Mozilla\Firefox\Profiles\2t76mic6.default-1402910973662\searchplugins\startpage-ssl.xml
FF SearchPlugin: C:\Users\Ruebe\AppData\Roaming\Mozilla\Firefox\Profiles\2t76mic6.default-1402910973662\searchplugins\wikipedia-eng.xml
FF Extension: ShareMeNot - C:\Users\Ruebe\AppData\Roaming\Mozilla\Firefox\Profiles\2t76mic6.default-1402910973662\Extensions\sharemenot@franziroesner.com.xpi [2014-06-17]
FF Extension: NoScript - C:\Users\Ruebe\AppData\Roaming\Mozilla\Firefox\Profiles\2t76mic6.default-1402910973662\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2014-07-10]
FF Extension: Adblock Plus - C:\Users\Ruebe\AppData\Roaming\Mozilla\Firefox\Profiles\2t76mic6.default-1402910973662\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2014-06-16]
FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF
FF Extension: Avast Online Security - C:\Program Files\AVAST Software\Avast\WebRep\FF [2014-11-20]
FF Extension: No Name - wrc@avast.com [Not Found]

Chrome: 
=======
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2014-11-20]

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [50344 2014-11-20] (AVAST Software)
R3 AvastVBoxSvc; C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe [3192344 2014-11-20] (Avast Software)
R2 UMVPFSrv; C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [450848 2012-01-18] (Logitech Inc.)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R1 AsIO; C:\Windows\System32\drivers\AsIO.sys [12400 2007-12-17] ()
R2 aswHwid; C:\Windows\system32\drivers\aswHwid.sys [24184 2014-11-20] ()
R2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [70384 2014-11-20] (AVAST Software)
R1 aswRdr; C:\Windows\system32\drivers\aswRdr2.sys [81768 2014-11-20] (AVAST Software)
R0 aswRvrt; C:\Windows\system32\Drivers\aswRvrt.sys [49944 2014-11-20] ()
R1 aswSnx; C:\Windows\system32\drivers\aswSnx.sys [787800 2014-11-23] (AVAST Software)
R1 aswSP; C:\Windows\system32\drivers\aswSP.sys [423784 2014-11-21] (AVAST Software)
R2 aswStm; C:\Windows\system32\drivers\aswStm.sys [91496 2014-11-20] (AVAST Software)
R0 aswVmm; C:\Windows\system32\Drivers\aswVmm.sys [206248 2014-11-20] ()
R3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [6504 2009-05-13] ()
R2 VBoxAswDrv; C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [218192 2014-11-20] (Avast Software)

==================== NetSvcs (Whitelisted) ===================


(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-11-24 13:29 - 2014-11-24 13:30 - 00007284 _____ () C:\Users\Ruebe\Downloads\FRST.txt
2014-11-24 13:29 - 2014-11-24 13:29 - 00000000 ____D () C:\FRST
2014-11-24 13:28 - 2014-11-24 13:28 - 01110016 _____ (Farbar) C:\Users\Ruebe\Downloads\FRST.exe
2014-11-24 13:27 - 2014-11-24 13:27 - 00050477 _____ () C:\Users\Ruebe\Downloads\Defogger.exe
2014-11-24 13:27 - 2014-11-24 13:27 - 00000472 _____ () C:\Users\Ruebe\Downloads\defogger_disable.log
2014-11-24 13:27 - 2014-11-24 13:27 - 00000000 _____ () C:\Users\Ruebe\defogger_reenable
2014-11-24 11:44 - 2014-11-24 11:44 - 00000000 __SHD () C:\Users\Ruebe\AppData\Local\EmieBrowserModeList
2014-11-21 11:08 - 2014-11-21 11:08 - 00701104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2014-11-21 11:08 - 2014-11-21 11:08 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2014-11-20 17:41 - 2014-11-20 17:41 - 00003931 _____ () C:\Users\Ruebe\AppData\Local\recently-used.xbel
2014-11-20 17:36 - 2014-11-20 17:00 - 32760084 _____ () C:\Users\Ruebe\Desktop\pinguin.tif
2014-11-20 17:12 - 2014-11-20 17:12 - 01921401 _____ () C:\Users\Ruebe\Downloads\klausfürgregor.zip
2014-11-20 15:40 - 2014-11-20 15:40 - 00000000 ____D () C:\Users\Ruebe\AppData\Local\webkit
2014-11-20 15:28 - 2014-11-20 17:37 - 00000000 ____D () C:\Users\Ruebe\AppData\Local\gtk-2.0
2014-11-20 15:28 - 2014-11-20 15:28 - 00000000 ____D () C:\Users\Ruebe\.thumbnails
2014-11-20 15:25 - 2014-11-21 12:21 - 00000000 ____D () C:\Users\Ruebe\.gimp-2.8
2014-11-20 15:25 - 2014-11-20 15:25 - 00001051 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk
2014-11-20 15:25 - 2014-11-20 15:25 - 00000000 ____D () C:\Users\Ruebe\AppData\Local\gegl-0.2
2014-11-20 15:25 - 2014-11-20 15:25 - 00000000 ____D () C:\Users\Ruebe\AppData\Local\fontconfig
2014-11-20 15:22 - 2014-11-20 15:25 - 00000000 ____D () C:\Program Files\GIMP 2
2014-11-20 15:20 - 2014-11-20 15:22 - 91670064 _____ (The GIMP Team ) C:\Users\Ruebe\Downloads\gimp-2.8.14-setup.exe
2014-11-20 15:17 - 2014-11-20 15:18 - 00000247 _____ () C:\Windows\system32\2014-11-20-14-17-56.019-aswFe.exe-864.log
2014-11-20 15:11 - 2014-11-20 15:17 - 00000247 _____ () C:\Windows\system32\2014-11-20-14-11-56.056-aswFe.exe-2972.log
2014-11-20 15:11 - 2014-11-20 15:11 - 00000197 _____ () C:\Windows\system32\2014-11-20-14-11-53.052-AvastVBoxSVC.exe-2268.log
2014-11-20 14:40 - 2014-11-20 14:40 - 00000247 _____ () C:\Windows\system32\2014-11-20-13-40-56.085-aswFe.exe-4688.log
2014-11-20 14:38 - 2014-11-20 14:38 - 00000000 ____D () C:\Windows\system32\vbox
2014-11-20 14:37 - 2014-11-20 14:37 - 00000000 ____D () C:\Users\Ruebe\AppData\Roaming\AVAST Software
2014-11-20 14:36 - 2014-11-23 11:51 - 00787800 _____ (AVAST Software) C:\Windows\system32\Drivers\aswsnx.sys
2014-11-20 14:36 - 2014-11-21 14:06 - 00423784 _____ (AVAST Software) C:\Windows\system32\Drivers\aswsp.sys
2014-11-20 14:36 - 2014-11-20 14:36 - 00787800 _____ (AVAST Software) C:\Windows\system32\Drivers\aswsnx.sys.1416739873119
2014-11-20 14:36 - 2014-11-20 14:36 - 00291352 _____ (AVAST Software) C:\Windows\system32\aswBoot.exe
2014-11-20 14:36 - 2014-11-20 14:36 - 00206248 _____ () C:\Windows\system32\Drivers\aswVmm.sys
2014-11-20 14:36 - 2014-11-20 14:36 - 00091496 _____ (AVAST Software) C:\Windows\system32\Drivers\aswStm.sys
2014-11-20 14:36 - 2014-11-20 14:36 - 00081768 _____ (AVAST Software) C:\Windows\system32\Drivers\aswRdr2.sys
2014-11-20 14:36 - 2014-11-20 14:36 - 00070384 _____ (AVAST Software) C:\Windows\system32\Drivers\aswMonFlt.sys
2014-11-20 14:36 - 2014-11-20 14:36 - 00049944 _____ () C:\Windows\system32\Drivers\aswRvrt.sys
2014-11-20 14:36 - 2014-11-20 14:36 - 00043152 _____ (AVAST Software) C:\Windows\avastSS.scr
2014-11-20 14:36 - 2014-11-20 14:36 - 00024184 _____ () C:\Windows\system32\Drivers\aswHwid.sys
2014-11-20 14:36 - 2014-11-20 14:36 - 00002121 _____ () C:\Users\Public\Desktop\Avast Free Antivirus.lnk
2014-11-20 14:36 - 2014-11-20 14:36 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVAST Software
2014-11-20 14:33 - 2014-11-20 14:33 - 00000000 ____D () C:\Program Files\AVAST Software
2014-11-20 14:30 - 2014-11-20 14:33 - 00000000 ____D () C:\ProgramData\AVAST Software
2014-11-20 14:30 - 2014-11-20 14:30 - 05006864 _____ (AVAST Software) C:\Users\Ruebe\Downloads\avast_free_antivirus_setup_online.exe
2014-11-20 14:20 - 2014-11-20 14:20 - 00000000 ____D () C:\OETemp
2014-11-20 13:31 - 2014-11-24 12:36 - 00199835 _____ () C:\Users\Ruebe\Downloads\detekt.log
2014-11-20 12:56 - 2014-11-20 12:57 - 27810288 _____ () C:\Users\Ruebe\Downloads\detekt.exe
2014-11-19 10:41 - 2014-11-11 03:44 - 00550912 _____ (Microsoft Corporation) C:\Windows\system32\kerberos.dll
2014-11-19 10:41 - 2014-11-11 03:44 - 00186880 _____ (Microsoft Corporation) C:\Windows\system32\pku2u.dll
2014-11-17 20:17 - 2014-11-17 20:17 - 00000000 ___RD () C:\Users\Ruebe\AppData\Roaming\Brother
2014-11-12 11:08 - 2014-11-05 18:50 - 00254464 _____ (Microsoft Corporation) C:\Windows\system32\generaltel.dll
2014-11-12 11:08 - 2014-11-05 18:50 - 00203776 _____ (Microsoft Corporation) C:\Windows\system32\aepdu.dll
2014-11-12 11:08 - 2014-11-05 18:47 - 00302592 _____ (Microsoft Corporation) C:\Windows\system32\aeinv.dll
2014-11-12 11:08 - 2014-10-25 02:32 - 00067584 _____ (Microsoft Corporation) C:\Windows\system32\packager.dll
2014-11-12 11:08 - 2014-10-18 02:33 - 00571904 _____ (Microsoft Corporation) C:\Windows\system32\oleaut32.dll
2014-11-12 11:08 - 2014-10-14 02:50 - 02363904 _____ (Microsoft Corporation) C:\Windows\system32\msi.dll
2014-11-12 11:08 - 2014-10-10 01:45 - 02379264 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2014-11-12 11:08 - 2014-10-03 02:44 - 00475136 _____ (Microsoft Corporation) C:\Windows\system32\audiosrv.dll
2014-11-12 11:08 - 2014-10-03 02:44 - 00442880 _____ (Microsoft Corporation) C:\Windows\system32\AUDIOKSE.dll
2014-11-12 11:08 - 2014-10-03 02:44 - 00374784 _____ (Microsoft Corporation) C:\Windows\system32\AudioEng.dll
2014-11-12 11:08 - 2014-10-03 02:44 - 00275968 _____ (Microsoft Corporation) C:\Windows\system32\EncDump.dll
2014-11-12 11:08 - 2014-10-03 02:44 - 00195584 _____ (Microsoft Corporation) C:\Windows\system32\AudioSes.dll
2014-11-12 11:08 - 2014-09-19 10:23 - 00259584 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2014-11-12 11:08 - 2014-09-19 10:23 - 00248832 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2014-11-12 11:08 - 2014-09-19 10:23 - 00221184 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2014-11-12 11:08 - 2014-09-19 10:23 - 00172032 _____ (Microsoft Corporation) C:\Windows\system32\wdigest.dll
2014-11-12 11:08 - 2014-09-19 10:23 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\TSpkg.dll
2014-11-12 11:08 - 2014-09-19 10:23 - 00017408 _____ (Microsoft Corporation) C:\Windows\system32\credssp.dll
2014-11-12 11:08 - 2014-08-21 07:26 - 01237504 _____ (Microsoft Corporation) C:\Windows\system32\msxml3.dll
2014-11-12 11:08 - 2014-08-21 07:23 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml3r.dll
2014-11-12 11:08 - 2014-08-12 02:36 - 00701440 _____ (Microsoft Corporation) C:\Windows\system32\IMJP10K.DLL
2014-11-12 11:07 - 2014-11-07 20:23 - 00341168 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2014-11-12 11:07 - 2014-11-06 04:28 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2014-11-12 11:07 - 2014-11-06 04:28 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2014-11-12 11:07 - 2014-11-06 04:13 - 00501248 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2014-11-12 11:07 - 2014-11-06 04:13 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2014-11-12 11:07 - 2014-11-06 04:12 - 00047616 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2014-11-12 11:07 - 2014-11-06 04:10 - 19781632 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2014-11-12 11:07 - 2014-11-06 04:10 - 00064000 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2014-11-12 11:07 - 2014-11-06 04:05 - 02277376 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2014-11-12 11:07 - 2014-11-06 04:04 - 00047104 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2014-11-12 11:07 - 2014-11-06 04:03 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2014-11-12 11:07 - 2014-11-06 04:00 - 00478208 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2014-11-12 11:07 - 2014-11-06 03:59 - 00115712 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2014-11-12 11:07 - 2014-11-06 03:59 - 00102912 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2014-11-12 11:07 - 2014-11-06 03:58 - 00620032 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2014-11-12 11:07 - 2014-11-06 03:51 - 00667648 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2014-11-12 11:07 - 2014-11-06 03:48 - 00418304 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2014-11-12 11:07 - 2014-11-06 03:42 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2014-11-12 11:07 - 2014-11-06 03:37 - 00168960 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2014-11-12 11:07 - 2014-11-06 03:36 - 00076288 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2014-11-12 11:07 - 2014-11-06 03:34 - 00285696 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2014-11-12 11:07 - 2014-11-06 03:22 - 00688640 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2014-11-12 11:07 - 2014-11-06 03:22 - 00683008 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2014-11-12 11:07 - 2014-11-06 03:21 - 04298240 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2014-11-12 11:07 - 2014-11-06 03:21 - 02051072 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2014-11-12 11:07 - 2014-11-06 03:20 - 01155072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2014-11-12 11:07 - 2014-11-06 03:03 - 12819456 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2014-11-12 11:07 - 2014-11-06 02:52 - 01892864 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2014-11-12 11:07 - 2014-11-06 02:48 - 01310208 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2014-11-12 11:07 - 2014-11-06 02:47 - 00708096 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2014-11-12 11:07 - 2014-10-14 02:56 - 00136632 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecpkg.sys
2014-11-12 11:07 - 2014-10-14 02:50 - 01059840 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2014-11-12 11:07 - 2014-10-14 02:50 - 00523776 _____ (Microsoft Corporation) C:\Windows\system32\termsrv.dll
2014-11-12 11:07 - 2014-10-14 02:47 - 00146432 _____ (Microsoft Corporation) C:\Windows\system32\msaudite.dll
2014-11-12 11:07 - 2014-10-14 02:46 - 00681984 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2014-11-11 11:17 - 2014-11-11 11:18 - 00000000 ____D () C:\Program Files\Mozilla Firefox
2014-11-04 12:41 - 2014-11-04 12:43 - 62312448 _____ () C:\Users\Ruebe\Downloads\calibre-2.8.0.msi
2014-11-03 11:52 - 2014-11-03 12:00 - 00000000 ____D () C:\Users\Ruebe\Desktop\Bescheid Jobcenter ab Nov. 2014

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-11-24 13:27 - 2014-05-06 22:59 - 00000000 ____D () C:\Users\Ruebe
2014-11-24 12:59 - 2014-05-06 22:45 - 01373320 _____ () C:\Windows\WindowsUpdate.log
2014-11-24 12:56 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\NDF
2014-11-24 12:40 - 2014-05-07 10:34 - 00000000 ____D () C:\Users\Ruebe\AppData\Local\Microsoft Games
2014-11-24 10:40 - 2014-06-07 08:59 - 00000000 _____ () C:\Windows\system32\Drivers\lvuvc.hs
2014-11-24 10:40 - 2009-07-14 05:39 - 00081421 _____ () C:\Windows\setupact.log
2014-11-23 11:56 - 2009-07-14 05:34 - 00032352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-11-23 11:56 - 2009-07-14 05:34 - 00032352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-11-23 11:53 - 2010-11-20 22:01 - 01618320 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-11-23 11:48 - 2014-06-12 11:26 - 00000000 ____D () C:\ProgramData\NVIDIA
2014-11-23 11:48 - 2014-05-06 23:08 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service
2014-11-23 11:48 - 2009-07-14 05:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-11-21 14:11 - 2014-05-06 23:18 - 00000000 ____D () C:\Users\Ruebe\AppData\Local\Thunderbird
2014-11-21 14:04 - 2014-06-14 15:35 - 00000000 ____D () C:\Program Files\Mozilla Thunderbird
2014-11-21 11:15 - 2014-05-07 00:52 - 00002441 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk
2014-11-21 11:07 - 2014-06-18 16:40 - 00000000 ____D () C:\Users\Ruebe\AppData\Local\Adobe
2014-11-20 15:09 - 2010-11-20 22:48 - 00096150 _____ () C:\Windows\PFRO.log
2014-11-20 14:21 - 2014-05-07 08:09 - 00000000 ____D () C:\Program Files\Avira
2014-11-16 13:49 - 2014-05-07 08:24 - 00000000 ____D () C:\Users\Ruebe\AppData\Roaming\Canon
2014-11-16 01:12 - 2014-05-14 15:14 - 00114904 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2014-11-12 14:20 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\rescache
2014-11-12 14:03 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\Microsoft.NET
2014-11-12 13:20 - 2009-07-14 05:33 - 00286688 _____ () C:\Windows\system32\FNTCACHE.DAT
2014-11-12 13:18 - 2014-05-07 07:51 - 00000000 ___SD () C:\Windows\system32\CompatTel
2014-11-12 13:18 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\de-DE
2014-11-12 12:08 - 2014-05-07 02:48 - 00000000 ____D () C:\Windows\system32\MRT
2014-11-12 12:06 - 2014-05-07 02:48 - 100445232 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2014-11-04 16:33 - 2014-05-14 15:14 - 00001064 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2014-11-04 16:33 - 2014-05-14 15:14 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2014-11-04 16:33 - 2014-05-14 15:14 - 00000000 ____D () C:\Program Files\ Malwarebytes Anti-Malware 
2014-11-04 14:30 - 2014-05-06 23:28 - 00229000 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2014-11-04 12:44 - 2014-05-23 10:55 - 00000930 _____ () C:\Users\Public\Desktop\calibre - E-book management.lnk
2014-11-04 12:44 - 2014-05-23 10:55 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\calibre - E-book Management
2014-11-04 12:44 - 2014-05-23 10:55 - 00000000 ____D () C:\Program Files\Calibre2

Some content of TEMP:
====================
C:\Users\Ruebe\AppData\Local\Temp\avgnt.exe
C:\Users\Ruebe\AppData\Local\Temp\ChangeIcon.exe
C:\Users\Ruebe\AppData\Local\Temp\fp_pl_pfs_installer.exe
C:\Users\Ruebe\AppData\Local\Temp\xmlUpdater.exe


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2014-11-15 19:18

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---


Grüsse, Gregor

...und Addition:
Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 23-11-2014
Ran by Ruebe at 2014-11-24 13:30:22
Running from C:\Users\Ruebe\Downloads
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: avast! Antivirus (Enabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

µTorrent (HKU\S-1-5-21-1503516029-2606972506-1266013851-1000\...\uTorrent) (Version: 3.4.2.34309 - BitTorrent Inc.)
7-Zip 9.20 (HKLM\...\7-Zip) (Version:  - )
Adobe Flash Player 15 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 15.0.0.223 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.09) - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.09 - Adobe Systems Incorporated)
Avast Free Antivirus (HKLM\...\Avast) (Version: 10.0.2208 - AVAST Software)
calibre (HKLM\...\{7C79A0FB-4C96-4538-B443-D99BDBA34995}) (Version: 2.8.0 - Kovid Goyal)
CanoScan Toolbox Ver4.6 (HKLM\...\{088A077A-8028-408C-AE7B-4512AE2A65A0}) (Version:  - )
Cool & Quiet (HKLM\...\{1ADE1AA0-7F82-4BB1-B1BD-727DE438057B}) (Version:  - )
DVDFab 9.1.4.2 (29/04/2014) (HKLM\...\DVDFab 9_is1) (Version:  - Fengtao Software Inc.)
GIMP 2.8.14 (HKLM\...\GIMP-2_is1) (Version: 2.8.14 - The GIMP Team)
GNU Backgammon (Version 1_02_000, 20130728) (HKLM\...\GNU Backgammon_is1) (Version:  - Free Software Foundation)
Google Earth (HKLM\...\{28E82311-8616-11E1-BEB0-B8AC6F97B88E}) (Version: 6.2.2.6613 - Google)
IrfanView (remove only) (HKLM\...\IrfanView) (Version: 4.37 - Irfan Skiljan)
Malwarebytes Anti-Malware Version 2.0.3.1025 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.3.1025 - Malwarebytes Corporation)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
MozBackup 1.5.1 (HKLM\...\MozBackup) (Version:  - Pavel Cvrcek)
Mozilla Firefox 33.1 (x86 de) (HKLM\...\Mozilla Firefox 33.1 (x86 de)) (Version: 33.1 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 24.5.0 - Mozilla)
Mozilla Thunderbird 31.2.0 (x86 de) (HKLM\...\Mozilla Thunderbird 31.2.0 (x86 de)) (Version: 31.2.0 - Mozilla)
Notepad++ (HKLM\...\Notepad++) (Version: 6.6 - Notepad++ Team)
NVIDIA 3D Vision Treiber 335.23 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision) (Version: 335.23 - NVIDIA Corporation)
NVIDIA Grafiktreiber 335.23 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 335.23 - NVIDIA Corporation)
NVIDIA Update 10.4.0 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update) (Version: 10.4.0 - NVIDIA Corporation)
OpenOffice 4.1.0 (HKLM\...\{E19483E2-6C18-494D-A307-D4498BCFD2C7}) (Version: 4.10.9764 - Apache Software Foundation)
PDF24 Creator 6.5.0 (HKLM\...\{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1) (Version:  - PDF24.org)
ProMash (HKLM\...\ProMash) (Version:  - )
RezkonvSuite (nur entfernen) (HKLM\...\RkSuite) (Version:  - )
Task Coach 1.3.38 (HKLM\...\Task Coach_is1) (Version:  - Frank Niessink, Jerome Laheurte, and Aaron Wolf)
TrueCrypt (HKLM\...\TrueCrypt) (Version: 7.1a - TrueCrypt Foundation)
VLC media player 2.1.3 (HKLM\...\VLC media player) (Version: 2.1.3 - VideoLAN)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)


==================== Restore Points  =========================

15-10-2014 16:26:06 Windows Update
19-10-2014 11:21:28 Installed calibre
30-10-2014 16:57:54 Geplanter Prüfpunkt
04-11-2014 11:44:13 Installed calibre
12-11-2014 11:04:50 Windows Update
19-11-2014 09:45:28 Windows Update
20-11-2014 13:33:23 avast! antivirus system restore point

==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 03:04 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {8A8B8043-E9A4-4F52-9DE4-C343A9E41E34} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2014-11-20] (AVAST Software)

(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)


==================== Loaded Modules (whitelisted) =============

2014-06-12 11:25 - 2014-03-04 13:34 - 00109000 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax.dll
2014-11-23 00:59 - 2014-11-23 00:59 - 02903552 _____ () C:\Program Files\AVAST Software\Avast\defs\14112201\algo.dll
2014-11-20 14:36 - 2014-11-20 14:36 - 02151544 _____ () C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxVMM.dll
2014-11-20 14:36 - 2014-11-20 14:36 - 00021488 _____ () C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxREM.dll
2014-11-20 14:36 - 2014-11-20 14:36 - 04474224 _____ () C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxRT.dll
2014-11-24 10:40 - 2014-11-24 10:40 - 02903552 _____ () C:\Program Files\AVAST Software\Avast\defs\14112400\algo.dll
2014-11-20 14:36 - 2014-11-20 14:36 - 00317632 _____ () C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxDDU.dll
2014-11-20 14:36 - 2014-11-20 14:36 - 38562088 _____ () C:\Program Files\AVAST Software\Avast\libcef.dll
2014-11-20 12:56 - 2014-11-20 12:57 - 27810288 _____ () C:\Users\Ruebe\Downloads\detekt.exe
2014-11-24 11:50 - 2014-11-24 11:50 - 01689088 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\PyQt4.QtCore.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00077824 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\sip.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00324608 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\PIL._imaging.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00715264 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\_hashlib.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00098816 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\win32api.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00110080 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\pywintypes27.dll
2014-11-24 11:50 - 2014-11-24 11:50 - 00364544 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\pythoncom27.dll
2014-11-24 11:50 - 2014-11-24 11:50 - 05940224 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\PyQt4.QtGui.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00325120 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\PyQt4.QtWebKit.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00502784 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\PyQt4.QtNetwork.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00046080 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\_socket.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 01160704 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\_ssl.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00686080 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\unicodedata.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00087552 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\_ctypes.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00152576 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\yara.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00096256 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\distorm3.dll
2014-11-24 11:50 - 2014-11-24 11:50 - 00320512 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\win32com.shell.shell.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00042496 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\win32service.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00010240 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\select.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00119808 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\win32file.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00128512 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\_elementtree.pyd
2014-11-24 11:50 - 2014-11-24 11:50 - 00127488 _____ () C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\pyexpat.pyd
2014-11-11 11:17 - 2014-11-11 11:17 - 03649648 _____ () C:\Program Files\Mozilla Firefox\mozjs.dll
2014-06-14 15:35 - 2014-11-21 14:04 - 03339376 _____ () C:\Program Files\Mozilla Thunderbird\mozjs.dll
2014-06-14 15:35 - 2014-11-21 14:04 - 00158832 _____ () C:\Program Files\Mozilla Thunderbird\NSLDAP32V60.dll
2014-06-14 15:35 - 2014-11-21 14:04 - 00023152 _____ () C:\Program Files\Mozilla Thunderbird\NSLDAPPR32V60.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)


==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)


==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)

MSCONFIG\Services: AdobeARMservice => 2
MSCONFIG\Services: AeLookupSvc => 3
MSCONFIG\Services: bthserv => 3
MSCONFIG\Services: FontCache3.0.0.0 => 3
MSCONFIG\startupreg: NvBackend => "C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe"
MSCONFIG\startupreg: PDFPrint => C:\Program Files\PDF24\pdf24.exe

========================= Accounts: ==========================

Administrator (S-1-5-21-1503516029-2606972506-1266013851-500 - Administrator - Disabled)
Gast (S-1-5-21-1503516029-2606972506-1266013851-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-1503516029-2606972506-1266013851-1002 - Limited - Enabled)
Ruebe (S-1-5-21-1503516029-2606972506-1266013851-1000 - Administrator - Enabled) => C:\Users\Ruebe

==================== Faulty Device Manager Devices =============

Name: RAID-Controller
Description: RAID-Controller
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Audiocontroller für Multimedia
Description: Audiocontroller für Multimedia
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (11/24/2014 11:50:17 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"1".
Die abhängige Assemblierung "Microsoft.VC90.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (11/24/2014 11:49:48 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC90.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"1".
Die abhängige Assemblierung "Microsoft.VC90.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (11/23/2014 11:49:08 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/21/2014 01:53:47 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/20/2014 05:37:41 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: gimp-2.8.exe, Version: 2.8.14.0, Zeitstempel: 0x00000000
Name des fehlerhaften Moduls: libpixman-1-0.dll, Version: 0.0.0.0, Zeitstempel: 0x0072a5f0
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00084b3b
ID des fehlerhaften Prozesses: 0xcd8
Startzeit der fehlerhaften Anwendung: 0xgimp-2.8.exe0
Pfad der fehlerhaften Anwendung: gimp-2.8.exe1
Pfad des fehlerhaften Moduls: gimp-2.8.exe2
Berichtskennung: gimp-2.8.exe3

Error: (11/20/2014 03:37:03 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: gimp-2.8.exe, Version: 2.8.14.0, Zeitstempel: 0x00000000
Name des fehlerhaften Moduls: libpixman-1-0.dll, Version: 0.0.0.0, Zeitstempel: 0x0072a5f0
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00084b3b
ID des fehlerhaften Prozesses: 0xc54
Startzeit der fehlerhaften Anwendung: 0xgimp-2.8.exe0
Pfad der fehlerhaften Anwendung: gimp-2.8.exe1
Pfad des fehlerhaften Moduls: gimp-2.8.exe2
Berichtskennung: gimp-2.8.exe3

Error: (11/20/2014 03:29:43 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: gimp-2.8.exe, Version: 2.8.14.0, Zeitstempel: 0x00000000
Name des fehlerhaften Moduls: libpixman-1-0.dll, Version: 0.0.0.0, Zeitstempel: 0x0072a5f0
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00084b3b
ID des fehlerhaften Prozesses: 0x850
Startzeit der fehlerhaften Anwendung: 0xgimp-2.8.exe0
Pfad der fehlerhaften Anwendung: gimp-2.8.exe1
Pfad des fehlerhaften Moduls: gimp-2.8.exe2
Berichtskennung: gimp-2.8.exe3

Error: (11/20/2014 03:28:51 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: gimp-2.8.exe, Version: 2.8.14.0, Zeitstempel: 0x00000000
Name des fehlerhaften Moduls: libpixman-1-0.dll, Version: 0.0.0.0, Zeitstempel: 0x0072a5f0
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00084b3b
ID des fehlerhaften Prozesses: 0xb78
Startzeit der fehlerhaften Anwendung: 0xgimp-2.8.exe0
Pfad der fehlerhaften Anwendung: gimp-2.8.exe1
Pfad des fehlerhaften Moduls: gimp-2.8.exe2
Berichtskennung: gimp-2.8.exe3

Error: (11/20/2014 03:09:50 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/20/2014 02:33:23 PM) (Source: VSS) (EventID: 8194) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005, Zugriff verweigert
.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.


Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {495bb182-70d1-4e3c-9b7d-5690b12c2827}


System errors:
=============
Error: (11/24/2014 00:04:57 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (11/23/2014 02:16:29 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: )
Description: Der Speicher wurde beim letzten Leistungsübergang des Systems von der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte Firmware verfügbar ist.

Error: (11/23/2014 00:59:12 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (11/21/2014 04:17:31 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (11/21/2014 02:51:33 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: )
Description: Der Speicher wurde beim letzten Leistungsübergang des Systems von der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte Firmware verfügbar ist.

Error: (11/20/2014 05:06:34 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623}

Error: (11/20/2014 04:34:21 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: )
Description: Der Speicher wurde beim letzten Leistungsübergang des Systems von der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte Firmware verfügbar ist.

Error: (11/19/2014 01:06:43 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: {995C996E-D918-4A8C-A302-45719A6F4EA7}

Error: (11/19/2014 00:03:09 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: )
Description: Der Speicher wurde beim letzten Leistungsübergang des Systems von der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte Firmware verfügbar ist.

Error: (11/16/2014 02:39:22 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: )
Description: Der Speicher wurde beim letzten Leistungsübergang des Systems von der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte Firmware verfügbar ist.


Microsoft Office Sessions:
=========================
Error: (11/24/2014 11:50:17 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Microsoft.VC90.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"C:\Users\Ruebe\AppData\Local\Temp\_MEI54722\detekt.exe.manifest

Error: (11/24/2014 11:49:48 AM) (Source: SideBySide) (EventID: 33) (User: )
Description: Microsoft.VC90.DebugCRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"C:\Users\Ruebe\AppData\Local\Temp\_MEI1722\detekt.exe.manifest

Error: (11/23/2014 11:49:08 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/21/2014 01:53:47 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/20/2014 05:37:41 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: gimp-2.8.exe2.8.14.000000000libpixman-1-0.dll0.0.0.00072a5f0c000000500084b3bcd801d004dd2b28d460C:\Program Files\GIMP 2\bin\gimp-2.8.exeC:\Program Files\GIMP 2\bin\libpixman-1-0.dll8b2c4c40-70d3-11e4-ab6e-001d60736bb2

Error: (11/20/2014 03:37:03 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: gimp-2.8.exe2.8.14.000000000libpixman-1-0.dll0.0.0.00072a5f0c000000500084b3bc5401d004cf5b2e1ef8C:\Program Files\GIMP 2\bin\gimp-2.8.exeC:\Program Files\GIMP 2\bin\libpixman-1-0.dllb0e64d98-70c2-11e4-ab6e-001d60736bb2

Error: (11/20/2014 03:29:43 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: gimp-2.8.exe2.8.14.000000000libpixman-1-0.dll0.0.0.00072a5f0c000000500084b3b85001d004ce61c66758C:\Program Files\GIMP 2\bin\gimp-2.8.exeC:\Program Files\GIMP 2\bin\libpixman-1-0.dllaaec52f8-70c1-11e4-ab6e-001d60736bb2

Error: (11/20/2014 03:28:51 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: gimp-2.8.exe2.8.14.000000000libpixman-1-0.dll0.0.0.00072a5f0c000000500084b3bb7801d004cde366c7b8C:\Program Files\GIMP 2\bin\gimp-2.8.exeC:\Program Files\GIMP 2\bin\libpixman-1-0.dll8bcad778-70c1-11e4-ab6e-001d60736bb2

Error: (11/20/2014 03:09:50 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/20/2014 02:33:23 PM) (Source: VSS) (EventID: 8194) (User: )
Description: 0x80070005, Zugriff verweigert


Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {495bb182-70d1-4e3c-9b7d-5690b12c2827}


==================== Memory info =========================== 

Processor: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+
Percentage of memory in use: 64%
Total physical RAM: 2046.3 MB
Available physical RAM: 731.55 MB
Total Pagefile: 4092.6 MB
Available Pagefile: 2176.28 MB
Total Virtual: 2047.88 MB
Available Virtual: 1899.02 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:241.15 GB) (Free:199.15 GB) NTFS
Drive d: () (Fixed) (Total:224.61 GB) (Free:197.86 GB) NTFS
Drive e: () (Fixed) (Total:146.39 GB) (Free:144.87 GB) NTFS
Drive f: () (Fixed) (Total:785.03 GB) (Free:352.21 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: 00000001)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=146.4 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=785 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 465.8 GB) (Disk ID: 8C958C95)
Partition 1: (Not Active) - (Size=224.6 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=241.2 GB) - (Type=07 NTFS)

==================== End Of Log ============================
         
Grüsse, Gregor

Hallo Timo,

... und hier das GMER-Logfile:

Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-11-24 14:19:24
Windows 6.1.7601 Service Pack 1 \Device\Harddisk1\DR1 -> \Device\00000060 SAMSUNG_ rev.CR10 465,76GB
Running: l4bwrv6g.exe; Driver: C:\Users\Ruebe\AppData\Local\Temp\uglorpog.sys


---- System - GMER 2.1 ----

SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwAddBootEntry [0x8E44DAC4]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwAllocateVirtualMemory [0x8E5090BA]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwAssignProcessToJobObject [0x8E44E5A2]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwCreateEvent [0x8E45A63C]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwCreateEventPair [0x8E45A688]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwCreateIoCompletion [0x8E45A822]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwCreateMutant [0x8E45A5AA]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwCreateSection [0x8E509494]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwCreateSemaphore [0x8E45A5F2]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwCreateThread [0x8E509724]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwCreateThreadEx [0x8E50980E]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwCreateTimer [0x8E45A7DC]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwDebugActiveProcess [0x8E44F390]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwDeleteBootEntry [0x8E44DB2A]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwDuplicateObject [0x8E452B86]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwLoadDriver [0x8E44D716]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwMapViewOfSection [0x8E509574]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwModifyBootEntry [0x8E44DB90]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwNotifyChangeKey [0x8E452F7C]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwNotifyChangeMultipleKeys [0x8E44FE78]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenEvent [0x8E45A666]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenEventPair [0x8E45A6AA]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenIoCompletion [0x8E45A846]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenMutant [0x8E45A5D0]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenProcess [0x8E45247E]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenSection [0x8E45A75A]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenSemaphore [0x8E45A61A]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenThread [0x8E45286A]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwOpenTimer [0x8E45A800]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwProtectVirtualMemory [0x8E509312]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwQueryObject [0x8E44FCEC]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwQueueApcThreadEx [0x8E44F9FA]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwSetBootEntryOrder [0x8E44DBF6]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwSetBootOptions [0x8E44DC5C]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwSetContextThread [0x8E509670]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwSetSystemInformation [0x8E44D7B0]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwSetSystemPowerState [0x8E44D982]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwShutdownSystem [0x8E44D910]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwSuspendProcess [0x8E44F55A]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwSuspendThread [0x8E44F6BC]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwSystemDebugControl [0x8E44DA0A]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwTerminateProcess [0x8E5093E0]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwTerminateThread [0x8E44F1EA]
SSDT   \SystemRoot\system32\drivers\aswSnx.sys                                                                   ZwVdmControl [0x8E44DCC2]
SSDT   \SystemRoot\system32\drivers\aswSP.sys                                                                    ZwWriteVirtualMemory [0x8E509244]

---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!ZwRollbackEnlistment + 140D                                                                  82A7AA35 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                    82AB4392 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  ntkrnlpa.exe!KeRemoveQueueEx + 10CB                                                                       82ABB5B0 4 Bytes  [C4, DA, 44, 8E]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 10F3                                                                       82ABB5D8 4 Bytes  [BA, 90, 50, 8E]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1153                                                                       82ABB638 4 Bytes  [A2, E5, 44, 8E]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 11A7                                                                       82ABB68C 8 Bytes  [3C, A6, 45, 8E, 88, A6, 45, ...]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 11B3                                                                       82ABB698 4 Bytes  [22, A8, 45, 8E]
.text  ...                                                                                                       

---- User code sections - GMER 2.1 ----

.text  C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1608] kernel32.dll!SetUnhandledExceptionFilter         76E6F5AB 8 Bytes  [31, C0, C2, 04, 00, 90, 90, ...] {XOR EAX, EAX; RET 0x4; NOP ; NOP ; NOP }
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!NtCreateFile                         77595608 5 Bytes  JMP 55149D14 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!NtFlushBuffersFile                   77595998 5 Bytes  JMP 551496D3 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!NtQueryFullAttributesFile            77596028 5 Bytes  JMP 55149D95 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!NtReadFile                           775962F8 5 Bytes  JMP 551495AF C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!NtReadFileScatter                    77596308 5 Bytes  JMP 551495F8 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!NtWriteFile                          77596AA8 5 Bytes  JMP 55149641 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!NtWriteFileGather                    77596AB8 5 Bytes  JMP 5514968A C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!LdrUnloadDll                         775AC8DE 5 Bytes  JMP 000E03FC 
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] ntdll.dll!LdrLoadDll                           775B22AE 5 Bytes  JMP 6E221F4C C:\Program Files\Mozilla Thunderbird\mozglue.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] KERNEL32.dll!K32GetDeviceDriverBaseNameW + 5D  76E694E6 7 Bytes  JMP 5515ACF1 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] KERNEL32.dll!QueryPerformanceCounter + 13      76E6C4E5 7 Bytes  JMP 5515ACA9 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] KERNEL32.dll!LoadAppInitDlls + 355             76E6F5A6 7 Bytes  JMP 55F1EEB5 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] user32.dll!GetWindowInfo                       75B24B5E 5 Bytes  JMP 5580157D C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\Mozilla Thunderbird\thunderbird.exe[2312] GDI32.dll!GetViewportOrgEx + 26C               75D9884B 7 Bytes  JMP 5515AD18 C:\Program Files\Mozilla Thunderbird\xul.dll
.text  C:\Program Files\AVAST Software\Avast\avastui.exe[3260] kernel32.dll!SetUnhandledExceptionFilter          76E6F5AB 8 Bytes  [31, C0, C2, 04, 00, 90, 90, ...] {XOR EAX, EAX; RET 0x4; NOP ; NOP ; NOP }

---- Registry - GMER 2.1 ----

Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active                        
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active@5E466CDB               118

---- EOF - GMER 2.1 ----
         
Nochmal Danke für Deine Hilfe!

Grüsse, Gregor

Alt 24.11.2014, 15:48   #5
Warlord711
/// TB-Ausbilder
 
Detekt meldet Verseuchung - Standard

Detekt meldet Verseuchung



Also bisher waren die Detekt Logs bei ALLEN Usern zu 100% Fehlmeldungen.


Mach mal bitte folgendes:


  1. aktuelle Version von Detekt.exe herunterladen, auf dem Desktop speichern
  2. Rechner komplett herunterfahren, nach 1 Min neu starten
  3. Anti-Viren Schutz komplett deaktivieren
  4. neues Detekt - Log erstellen


Dabei keinen Browser oder sonst etwas aufmachen, rein garnix am Rechner starten.

__________________
Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie | Spende | Lob & Kritik

Alt 24.11.2014, 17:37   #6
Opa_pa
 
Detekt meldet Verseuchung - Standard

Detekt meldet Verseuchung



Das werde ich machen und mich dann mit dem neuen Detekt-Logfile wieder hier melden.

Aber was ergibt denn die Auswertung der Logfiles der so brav von mir geposteten Logfiles von FRST und GMER?

Grüsse, G.

Ja super, die neue Version von Detekt detektiert plötzlich keine Staatstrojaner mehr.
Logfile weiter unten.

Mild ausgedrückt, könnte man sagen, ich bin etwas irritiert. Was denn nun?

Ich hoffe diese Version ist zuverlässiger als die, die mir fünf Trojaner gemeldet hat!

Noch mal meine Bitte um eine Analyse der von mir geposteten Logfiles von FRST und GMER! Gibt's da Hinweise auf einen Befall?

Mir ist schon klar, dass immer die Gefahr besteht, mögen die Ergebnisse verschiedener Aufspürprogramme noch so schön sein. Schließlich entwickeln die Trojaner-Entwickler ihre Scheiß-Programme sicher immer weiter...

Aber, dass ich eher braves Menschlein Zielperson eines Staatstrojaners bin, hat mein altes Herzchen schon zum klopfen gebracht.

So hier der neue Detekt-Logfile:
Code:
ATTFilter
 2014-11-24 17:06:59,368 - detector - INFO - Starting with process ID 2544
2014-11-24 17:06:59,368 - detector - INFO - Selected Profile Name: Win7SP1x86
2014-11-24 17:06:59,368 - detector - INFO - Selected Driver: C:\Users\Ruebe\AppData\Local\Temp\_MEI17922\drivers\winpmem32.sys
2014-11-24 17:06:59,368 - detector.service - INFO - Launching service destroyer...
2014-11-24 17:06:59,368 - detector.service - DEBUG - Unable to OpenService: (1060, 'OpenService', 'Der angegebene Dienst ist kein installierter Dienst.')
2014-11-24 17:06:59,368 - detector.service - INFO - Trying to stop the winpmem service...
2014-11-24 17:06:59,368 - detector.service - INFO - Trying to delete the winpmem service...
2014-11-24 17:06:59,368 - detector.service - DEBUG - Unable to delete the service: (6, 'DeleteService', 'Das Handle ist ung\xfcltig.')
2014-11-24 17:07:00,023 - detector.service - INFO - Trying to start the winpmem service...
2014-11-24 17:07:00,023 - detector - INFO - Service started
2014-11-24 17:07:00,023 - detector - INFO - Selected Yara signature file at C:\Users\Ruebe\AppData\Local\Temp\_MEI17922\rules\signatures.yar
2014-11-24 17:07:00,023 - detector - INFO - Obtaining address space and generating config for volatility
2014-11-24 17:07:02,348 - detector - INFO - Address space: <volatility.plugins.addrspaces.intel.IA32PagedMemoryPae object at 0x0846E930>, Base: <volatility.plugins.addrspaces.win32pmem.Win32FileAddressSpace object at 0x07813C10>
2014-11-24 17:07:02,348 - detector - INFO - Profile: <volatility.plugins.overlays.windows.win7.Win7SP1x86 object at 0x07813F70>, DTB: 0x185000
2014-11-24 17:07:02,380 - detector - INFO - Starting yara scanner...
2014-11-24 17:07:08,966 - detector - DEBUG - Scanning process System, pid: 4
2014-11-24 17:07:08,966 - detector - DEBUG - Unable to scan process: access denied
2014-11-24 17:07:08,966 - detector - DEBUG - Scanning process smss.exe, pid: 304
2014-11-24 17:07:09,075 - detector - DEBUG - Scanning process csrss.exe, pid: 404
2014-11-24 17:07:09,448 - detector - DEBUG - Scanning process wininit.exe, pid: 460
2014-11-24 17:07:09,823 - detector - DEBUG - Scanning process csrss.exe, pid: 480
2014-11-24 17:07:10,697 - detector - DEBUG - Scanning process services.exe, pid: 516
2014-11-24 17:07:11,072 - detector - DEBUG - Scanning process winlogon.exe, pid: 556
2014-11-24 17:07:11,555 - detector - DEBUG - Scanning process lsass.exe, pid: 564
2014-11-24 17:07:12,552 - detector - DEBUG - Scanning process lsm.exe, pid: 576
2014-11-24 17:07:12,835 - detector - DEBUG - Scanning process svchost.exe, pid: 692
2014-11-24 17:07:13,474 - detector - DEBUG - Scanning process nvvsvc.exe, pid: 780
2014-11-24 17:07:14,256 - detector - DEBUG - Scanning process nvSCPAPISvr.ex, pid: 804
2014-11-24 17:07:14,710 - detector - DEBUG - Scanning process svchost.exe, pid: 840
2014-11-24 17:07:15,084 - detector - DEBUG - Scanning process svchost.exe, pid: 916
2014-11-24 17:07:16,051 - detector - DEBUG - Scanning process svchost.exe, pid: 980
2014-11-24 17:07:17,802 - detector - DEBUG - Scanning process svchost.exe, pid: 1036
2014-11-24 17:07:18,714 - detector - DEBUG - Scanning process svchost.exe, pid: 1068
2014-11-24 17:07:19,960 - detector - DEBUG - Scanning process UMVPFSrv.exe, pid: 1100
2014-11-24 17:07:20,319 - detector - DEBUG - Scanning process audiodg.exe, pid: 1184
2014-11-24 17:07:20,319 - detector - DEBUG - Unable to scan process: access denied
2014-11-24 17:07:20,319 - detector - DEBUG - Scanning process svchost.exe, pid: 1224
2014-11-24 17:07:20,660 - detector - DEBUG - Scanning process svchost.exe, pid: 1372
2014-11-24 17:07:21,391 - detector - DEBUG - Scanning process AvastSvc.exe, pid: 1428
2014-11-24 17:07:27,009 - detector - DEBUG - Scanning process nvxdsync.exe, pid: 1480
2014-11-24 17:07:29,203 - detector - DEBUG - Scanning process nvvsvc.exe, pid: 1488
2014-11-24 17:07:30,813 - detector - DEBUG - Scanning process spoolsv.exe, pid: 1744
2014-11-24 17:07:32,059 - detector - DEBUG - Scanning process svchost.exe, pid: 1772
2014-11-24 17:07:32,713 - detector - DEBUG - Scanning process armsvc.exe, pid: 1876
2014-11-24 17:07:33,142 - detector - DEBUG - Scanning process svchost.exe, pid: 1912
2014-11-24 17:07:33,948 - detector - DEBUG - Scanning process svchost.exe, pid: 1960
2014-11-24 17:07:34,319 - detector - DEBUG - Scanning process AvastVBoxSVC.e, pid: 2204
2014-11-24 17:07:35,273 - detector - DEBUG - Scanning process WmiPrvSE.exe, pid: 2232
2014-11-24 17:07:35,776 - detector - DEBUG - Scanning process dwm.exe, pid: 2740
2014-11-24 17:07:38,469 - detector - DEBUG - Scanning process taskhost.exe, pid: 2748
2014-11-24 17:07:39,342 - detector - DEBUG - Scanning process explorer.exe, pid: 2776
2014-11-24 17:07:44,698 - detector - DEBUG - Scanning process AdobeARM.exe, pid: 2896
2014-11-24 17:07:45,484 - detector - DEBUG - Scanning process avastui.exe, pid: 2932
2014-11-24 17:07:49,361 - detector - DEBUG - Scanning process nvtray.exe, pid: 3088
2014-11-24 17:07:50,193 - detector - DEBUG - Scanning process NvBackend.exe, pid: 3180
2014-11-24 17:07:50,763 - detector - DEBUG - Scanning process unsecapp.exe, pid: 3296
2014-11-24 17:07:51,032 - detector - DEBUG - Scanning process SearchIndexer., pid: 3400
2014-11-24 17:07:52,112 - detector - DEBUG - Scanning process detekt(1).exe, pid: 1792
2014-11-24 17:07:52,322 - detector - DEBUG - Scanning process SpiderSolitair, pid: 1152
2014-11-24 17:07:55,657 - detector - DEBUG - Scanning process sppsvc.exe, pid: 2300
2014-11-24 17:07:56,180 - detector - DEBUG - Scanning process svchost.exe, pid: 3360
2014-11-24 17:07:59,099 - detector - DEBUG - Scanning process wmpnetwk.exe, pid: 3524
2014-11-24 17:08:01,118 - detector - DEBUG - Scanning process VSSVC.exe, pid: 2388
2014-11-24 17:08:01,720 - detector - DEBUG - Scanning process svchost.exe, pid: 3824
2014-11-24 17:08:02,069 - detector - DEBUG - Scanning process WmiPrvSE.exe, pid: 3912
2014-11-24 17:08:02,430 - detector - DEBUG - Scanning process taskeng.exe, pid: 524
2014-11-24 17:08:02,802 - detector - DEBUG - Scanning process AvastEmUpdate., pid: 1596
2014-11-24 17:08:03,404 - detector - INFO - Scanning finished
2014-11-24 17:08:03,404 - detector.service - INFO - Trying to stop the winpmem service...
2014-11-24 17:08:03,404 - detector.service - INFO - Trying to delete the winpmem service...
2014-11-24 17:08:03,404 - detector - INFO - Service stopped
2014-11-24 17:08:03,404 - detector - INFO - Analysis finished
         
Grüsse, G.

und natürlich großer DANK!!!

Alt 24.11.2014, 22:13   #7
Warlord711
/// TB-Ausbilder
 
Detekt meldet Verseuchung - Standard

Detekt meldet Verseuchung



Nee keine Spuren von Malware oder AdWare.

Das Detekt macht leider die Leute "scheu", unnötigerweise.

Läuft der Rechner ansonsten stabil ?
__________________
Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie | Spende | Lob & Kritik

Alt 25.11.2014, 12:27   #8
Opa_pa
 
Detekt meldet Verseuchung - Standard

Detekt meldet Verseuchung



Schön, dass Du in den Logfiles keine Hinweise auf Befall gefunden hast. Danke für die Mühe!
Ja, mein Windows läuft sehr stabil. Bin erst im Frühjahr von XP auf 7 umgestiegen, also eine recht frische Installation.
Einzig beim Runterfahren meldet Windows seit vielleicht sechs Wochen regelmässig in einem schwarzen Screen (aber kein Terminal-Fenster ö.ä.), dass es erst noch Programme schließen müsse, obwohl ich grundsätzlich alle Programme, die ich öffne und benutze vor dem Runterfahren schließe. Aber das kann natürlich auch der Virenscanner (derzeit AVAST) ö.ä. sein. Wie das Programm heißt, dass geschlossen werden muss, verrät Winddows aber nicht.

Sonst aber läuft alles rund.

Viele Grüße, G.

Alt 25.11.2014, 15:31   #9
Warlord711
/// TB-Ausbilder
 
Detekt meldet Verseuchung - Standard

Detekt meldet Verseuchung



Ok. Da läuft dann meistens noch irgendwas als Dienst im Hintergrund und beendet sich, das passt schon,solange das Fenster nicht ewig und 3 Tage sichtbar ist.
__________________
Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie | Spende | Lob & Kritik

Antwort

Themen zu Detekt meldet Verseuchung
finfisher finspy, finfisher finspy entfernen, ghost, ghost entfernen, hacking team rsc backdoor, hacking team rsc backdoor entfernen, hacking team rsc scout, hacking team rsc scout entfernen, internet, logfile, menschen, njrat, njrat entfernen, shadow, shadowtech rat, shadowtech rat entfernen, troja, verseuchung, xtremerat, xtremerat entfernen, zusammen




Ähnliche Themen: Detekt meldet Verseuchung


  1. Nach DETEKT-Check und 4 Staatstrojaner auf meinen Computer entdecken!
    Log-Analyse und Auswertung - 28.11.2014 (7)
  2. Detekt fand die Trojaner BlackShades RAT, DarkComet RAT, Xtreme RAT
    Plagegeister aller Art und deren Bekämpfung - 25.11.2014 (5)
  3. Detekt: Sinnvoll? oder Panikmache?
    Diskussionsforum - 22.11.2014 (8)
  4. Detekt gibt keine Screenmeldung aber detekt.log erwähnt Njrat
    Plagegeister aller Art und deren Bekämpfung - 22.11.2014 (1)
  5. Detekt findet Xtreme RAT KeyLogger etc.
    Log-Analyse und Auswertung - 22.11.2014 (3)
  6. Xtreme Rat nach Scan mit Detekt gefunden
    Log-Analyse und Auswertung - 21.11.2014 (4)
  7. Trojaner Verseuchung
    Plagegeister aller Art und deren Bekämpfung - 16.05.2013 (9)
  8. Nach Verseuchung -Anzeige?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (0)
  9. Trojaner oder andere Verseuchung?
    Log-Analyse und Auswertung - 15.03.2010 (5)
  10. Totale Verseuchung (?)
    Log-Analyse und Auswertung - 21.04.2009 (16)
  11. Mein Verseuchung...
    Mülltonne - 15.10.2008 (0)
  12. Verdacht auf Verseuchung
    Mülltonne - 06.02.2008 (0)
  13. Security Toolbar und Angebliche PC Verseuchung
    Log-Analyse und Auswertung - 19.11.2007 (1)
  14. hartnäckige Verseuchung
    Log-Analyse und Auswertung - 17.08.2007 (8)
  15. Brauch Hilfe bei Spyware Verseuchung
    Plagegeister aller Art und deren Bekämpfung - 08.06.2006 (7)
  16. Habe ich eine Verseuchung?
    Log-Analyse und Auswertung - 06.05.2005 (19)
  17. Trojaner Verseuchung!!! etc.
    Log-Analyse und Auswertung - 27.11.2004 (4)

Zum Thema Detekt meldet Verseuchung - Hallo zusammen, ich halte mich für einen vorsichtigen Menschen, was das Internet angeht. In der vergangenen Woche hat Spiegel Online das von Amnesty International herusgebrachte Programm DETEKT vorgestellt. Es soll - Detekt meldet Verseuchung...
Archiv
Du betrachtest: Detekt meldet Verseuchung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.