BKA Trojaner unter Windows 7 ohne CD-Rom-Laufwerk

Prima68 · 28.01.2015, 04:09

Hallo,

ein Bekannter hat sich leider das BKA Virus unter Windows 7 eingefangen. Leider besitzt der Rechner kein CD-Rom-Laufwerk.
Ein Versuch, den Rechner via USB-Stick mit OTLPESTD zu starten, schlug auch fehl. obwohl wir im Bios die Startreihenfolge geändert haben, starterte immer das infizierte Windows 7 mit dem BKA Virus.

Was können wir tun?

Prima68

schrauber · 28.01.2015, 07:15

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Prima68 · 28.01.2015, 22:17

Danke, ich habe FRST heruntergeladen. Der PC hat wohl ein UEFI Bios. Hatte ich so noch nie gesehen. Leider gelang ich zunächst nicht in den Systemwiederherstellungsmodus, der PC bootete immer den BKA Trojaner hoch.

Schließlich konnte ich jedoch in ein englischsprachiges Wiederherstellungsmenü gelangen, wie weiß ich auch nicht. Dort gab es aber keinen Eintrag Computer reparieren, aber ich kam in den abgesicherten Modus.

Dort suchte ich dann nach neueren exe-Dateien und habe eine Datei gefunden, die mir seltsam vorkam: ARPPRODUCTICON.exe. Diese habe ich umbenannt in ARPPRODUCTICON.oldexe. Treffer, denn dann habe ich den PC neu gestartet und der BKA Virus tauchte nicht mehr auf!

Ich habe dann mittels FRST das System gescannt. Denn ich denke, wir sind noch nicht fertig, weil die latente Gefahr ist ja noch da, oder?

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 28-01-2015 01
Ran by **** (administrator) on ****-PC on 28-01-2015 22:10:16
Running from D:\
Loaded Profiles: **** (Available profiles: ****)
Platform: Windows Embedded Standard Service Pack 1 (X86) OS Language: Englisch (USA)
Internet Explorer Version 11 (Default browser: IE)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Corporation) C:\Windows\System32\psxss.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(phion AG) C:\Program Files\netfenceVPN\phions.exe
() C:\Program Files\netfenceVPN\Opswat\CAntiVirusCOM.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(phion AG) C:\Program Files\netfenceVPN\phion.exe
() C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Microsoft Corporation) C:\Windows\System32\CISVC.EXE
(DTS, Inc) C:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe
(Microsoft Corporation) C:\Windows\System32\DialogFilter.exe
(Microsoft Corporation) C:\Windows\System32\inetsrv\inetinfo.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
(Microsoft Corporation) C:\Windows\System32\mqsvc.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Microsoft Corporation) C:\Windows\System32\TCPSVCS.EXE
(Microsoft Corporation) C:\Windows\System32\snmp.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe
(UltraVNC) C:\Program Files\uvnc bvba\UltraVNC\winvnc.exe
(Microsoft Corporation) C:\Windows\System32\mqtgsvc.exe
(Microsoft Corporation) C:\Windows\System32\nfsclnt.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(UltraVNC) C:\Program Files\uvnc bvba\UltraVNC\winvnc.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\tv_w32.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [phion] => C:\Program Files\netfenceVPN\phion.exe [2712920 2010-03-10] (phion AG)
HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation)
HKLM\...\Run: [USB3MON] => c:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-26] (Intel Corporation)
HKLM\...\Run: [RTHDVCPL] => c:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe [6336216 2013-08-19] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_DTS] => c:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe [978648 2013-08-07] (Realtek Semiconductor)
HKLM\...\Run: [MsmqIntCert] => regsvr32 /s mqrt.dll
HKLM\...\Policies\Explorer: [] 
HKLM\...\Policies\Explorer: [NoStartMenuMyGames] 1
HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [NoColorChoice] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [NoDispAppearancePage] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [Wallpaper] C:\Windows\System32\oobe\info\wallpaper.jpg
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [WallpaperStyle] 3
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [DisableChangePassword] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoDragToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoUserNameInStartMenu] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoStartMenuSubFolders] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoRedock] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoResize] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoAddRemoveToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoThemesTab] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoStartMenuMorePrograms] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [HideSCAVolume] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarLockAll] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [LockTaskbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\MountPoints2: {635c5fcf-7011-11e3-9a08-806e6f6e6963} - D:\.\Bin\ASSETUP.exe
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\MountPoints2: {7f3d8e4f-9efa-11e3-894a-806e6f6e6963} - D:\.\Bin\ASSETUP.exe
Startup: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\66906D41D.lnk
ShortcutTarget: 66906D41D.lnk -> C:\ProgramData\D14D60966.cpp (Newera Software)

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab
Tcpip\Parameters: [DhcpNameServer] 83.169.186.161 83.169.186.225

FireFox:
========
FF Plugin: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
FF Plugin: @intel-webapi.intel.com/Intel WebAPI updater -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 asComSvc; C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe [936728 2013-05-07] ()
R2 DialogFilter; C:\Windows\System32\DialogFilterSvc.dll [27496 2010-04-02] (Microsoft Corporation)
R2 DTSAudioSvc; c:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe [193480 2012-10-02] (DTS, Inc)
R2 ftpsvc; C:\Windows\system32\inetsrv\ftpsvc.dll [310272 2012-06-01] (Microsoft Corporation)
R2 IISADMIN; C:\Windows\system32\inetsrv\inetinfo.exe [13824 2009-07-14] (Microsoft Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [586240 2013-05-11] (Intel(R) Corporation) [File not signed]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [637912 2013-05-11] (Intel(R) Corporation)
R2 Intel(R) PROSet Monitoring Service; C:\Windows\system32\IProsetMonitor.exe [132768 2011-11-09] (Intel Corporation)
R2 iprip; C:\Windows\System32\iprip.dll [29696 2009-07-14] (Microsoft Corporation)
R2 jhi_service; c:\Program Files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-09-03] (Intel Corporation)
R2 KeyboardFilter; C:\Windows\System32\KeyboardFilterSvc.dll [37736 2011-09-16] (Microsoft Corporation)
R2 MSMQ; C:\Windows\system32\mqsvc.exe [8704 2009-07-14] (Microsoft Corporation)
R2 MSMQTriggers; C:\Windows\system32\mqtgsvc.exe [126464 2010-11-20] (Microsoft Corporation)
R2 NfsClnt; C:\Windows\system32\nfsclnt.exe [52736 2010-11-20] (Microsoft Corporation)
R2 phions; C:\Program Files\netfenceVPN\phions.exe [4498776 2010-03-10] (phion AG)
S4 POSPerformanceCounters; C:\Program Files\Microsoft Point Of Service\Microsoft.PointOfService.Service.exe [42056 2008-02-29] (Microsoft Corporation)
R2 uvnc_service; c:\Program Files\uvnc bvba\UltraVNC\WinVNC.exe [2033400 2012-11-23] (UltraVNC)
R2 WinDefend; c:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)
S2 Winmgmt; C:\PROGRA~2\8A6C6D771.cpp [X]

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R1 AsIO; C:\Windows\System32\drivers\AsIO.sys [14720 2012-08-22] ()
S3 asmthub3; C:\Windows\System32\DRIVERS\asmthub3.sys [102888 2011-11-03] (ASMedia Technology Inc)
S3 asmtxhci; C:\Windows\System32\DRIVERS\asmtxhci.sys [313832 2011-11-03] (ASMedia Technology Inc)
S3 e1kexpress; C:\Windows\System32\DRIVERS\e1k6032.sys [164864 2009-07-14] (Intel Corporation)
S3 e1qexpress; C:\Windows\System32\DRIVERS\e1q6232.sys [279208 2011-10-13] (Intel Corporation)
R0 iaStorA; C:\Windows\System32\DRIVERS\iaStorA.sys [505192 2013-08-07] (Intel Corporation)
R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [25448 2013-08-07] (Intel Corporation)
R0 iusb3hcs; C:\Windows\System32\DRIVERS\iusb3hcs.sys [16880 2013-04-26] (Intel Corporation)
R3 iusb3hub; C:\Windows\System32\DRIVERS\iusb3hub.sys [361968 2013-04-26] (Intel Corporation)
R3 iusb3xhc; C:\Windows\System32\DRIVERS\iusb3xhc.sys [793072 2013-04-26] (Intel Corporation)
R3 MEI; C:\Windows\System32\DRIVERS\TeeDriver.sys [85464 2013-09-03] (Intel Corporation)
R3 mf; C:\Windows\System32\DRIVERS\mf.sys [114176 2009-07-14] (Microsoft Corporation)
R3 MQAC; C:\Windows\System32\drivers\mqac.sys [141824 2010-11-20] (Microsoft Corporation)
S3 NmPar; C:\Windows\System32\DRIVERS\NmPar.sys [80896 2012-09-17] ()
R3 nmserial; C:\Windows\System32\DRIVERS\nmserial.sys [70656 2012-09-17] (Windows (R) Win 7 DDK provider)
S3 phionvpn; C:\Windows\System32\DRIVERS\phionvpn.sys [31728 2009-11-23] (Phion AG)
R3 Ramdisk; C:\Windows\System32\DRIVERS\ramdisk.sys [22016 2009-07-14] (Microsoft Corporation)
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

==================== NetSvcs (Whitelisted) ===================


(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)

NETSVC: DialogFilter -> C:\Windows\System32\DialogFilterSvc.dll (Microsoft Corporation)
NETSVC: KeyboardFilter -> C:\Windows\System32\KeyboardFilterSvc.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-28 20:57 - 2015-01-28 21:49 - 00020901 _____ () C:\Windows\WindowsUpdate.log
2015-01-28 20:55 - 2015-01-28 21:53 - 00000448 _____ () C:\Windows\setupact.log
2015-01-28 20:55 - 2015-01-28 20:55 - 00000840 _____ () C:\Windows\PFRO.log
2015-01-28 20:55 - 2015-01-28 20:55 - 00000000 _____ () C:\Windows\setuperr.log
2015-01-28 20:50 - 2015-01-28 22:10 - 00000000 ____D () C:\FRST
2015-01-28 20:38 - 2015-01-28 20:38 - 00000969 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () c:\Program Files\CCleaner
2015-01-28 20:38 - 2013-03-23 10:47 - 04190272 _____ (Piriform Ltd) C:\Users\****\Downloads\ccsetup328.exe
2015-01-24 12:09 - 2015-01-24 12:09 - 00180224 _____ (Newera Software) C:\ProgramData\D14D60966.cpp
2015-01-18 09:40 - 2014-12-19 03:43 - 00164864 _____ (Microsoft Corporation) C:\Windows\system32\profsvc.dll
2015-01-18 09:40 - 2014-12-19 02:34 - 00116224 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2015-01-18 09:40 - 2014-12-12 06:11 - 03971512 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2015-01-18 09:40 - 2014-12-12 06:11 - 03916728 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-01-18 09:40 - 2014-12-11 18:47 - 00046592 _____ (Microsoft Corporation) C:\Windows\system32\TSWbPrxy.exe
2015-01-18 09:40 - 2014-12-06 04:50 - 00242688 _____ (Microsoft Corporation) C:\Windows\system32\nlasvc.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00156672 _____ (Microsoft Corporation) C:\Windows\system32\ncsi.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00052224 _____ (Microsoft Corporation) C:\Windows\system32\nlaapi.dll

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-28 22:00 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-28 22:00 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-28 21:55 - 2010-04-02 07:08 - 00000000 ____D () C:\Windows\system32\inetsrv
2015-01-28 21:53 - 2013-12-28 17:06 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-01-28 21:53 - 2011-09-16 03:16 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-28 20:39 - 2013-12-29 08:42 - 00000000 ____D () C:\Windows\Panther
2015-01-27 20:37 - 2011-09-16 03:16 - 00032608 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2015-01-24 12:05 - 2010-12-10 19:13 - 01715020 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-01-24 12:04 - 2014-07-31 08:44 - 00000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2015-01-08 09:55 - 2013-12-28 17:30 - 00249488 _____ (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe

==================== Files in the root of some directories =======

2014-07-31 08:44 - 2015-01-24 12:04 - 0000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2014-07-29 20:12 - 2014-07-29 20:12 - 0000017 _____ () C:\Users\****\AppData\Local\resmon.resmoncfg
2008-02-05 13:28 - 2008-02-05 13:28 - 0000051 _____ () C:\Users\****\AppData\Local\setup.txt
2015-01-24 12:09 - 2015-01-24 12:09 - 0180224 _____ (Newera Software) C:\ProgramData\D14D60966.cpp
2014-02-26 16:35 - 2014-02-26 16:35 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-18 10:13

==================== End Of Log ============================

--- --- ---

--- --- ---

schrauber · 29.01.2015, 11:53

Wenn der Rechner doch nit gesperrt ist und du FRST aus dem normalen Modus laufen lassen kannst, dann bitte noch die Addition.txt posten

Prima68 · 29.01.2015, 12:47

Ok, hier die Addition.txt

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 28-01-2015 01
Ran by **** at 2015-01-28 21:01:33
Running from D:\
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)


==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.9.900.170 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.10) - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.10 - Adobe Systems Incorporated)
Asmedia ASM104x USB 3.0 Host Controller Driver (HKLM\...\{E4FB0B39-C991-4EE7-95DD-1A1A7857D33D}) (Version: 1.14.3.0 - Asmedia Technology)
cbckasse (HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\40d2a8cb6145fef7) (Version: 1.0.0.82 - cbckasse)
CCleaner (HKLM\...\CCleaner) (Version: 3.28 - Piriform)
Intel(R) Management Engine Components (HKLM\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 9.5.14.1724 - Intel Corporation)
Intel(R) Network Connections 17.0.200.2 (HKLM\...\PROSetDX) (Version: 17.0.200.2 - Intel)
Intel(R) Rapid Storage Technology (HKLM\...\{409CB30E-E457-4008-9B1A-ED1B9EA21140}) (Version: 12.8.0.1016 - Intel Corporation)
Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 2.5.0.19 - Intel Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft POS for .NET 1.12 (HKLM\...\{5B8A87B3-F137-48B4-9009-0A52C94828CB}) (Version: 1.12.1296.00 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20913.0 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Notepad++ (HKLM\...\Notepad++) (Version: 6.3.3 - Notepad++ Team)
NVIDIA Drivers (HKLM\...\NVIDIA Drivers) (Version: 1.9 - NVIDIA Corporation)
NVIDIA Stereoscopic 3D Driver (HKLM\...\NVIDIAStereo) (Version: 7.16.11.9107 - NVIDIA Corporation)
phion entegra 2.0 SP2 Client (HKLM\...\{F45EF6E1-11B4-4A23-A71B-7A832AEF93EF}) (Version: 6.02.055 - phion AG)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.7023 - Realtek Semiconductor Corp.)
TeamViewer 9 (HKLM\...\TeamViewer 9) (Version: 9.0.32494 - TeamViewer)
UltraVnc (HKLM\...\Ultravnc2_is1) (Version: 1.1.8 - uvnc bvba)
Windows Driver Package - phion AG phion Virtual Adapter (06/15/2009 4.0.1.26) (HKLM\...\FFA4BDCBD1DEE1B7BAC4D513C9A09C0FB309492B) (Version: 06/15/2009 4.0.1.26 - phion AG)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)


==================== Restore Points  =========================

Could not list restore points.
Check "winmgmt" service or repair WMI.


==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2010-04-02 06:55 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {4426BF38-DBD5-4E8A-8EFA-2578482AC3A6} - System32\Tasks\Adobe Acrobat Update Task => c:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)

(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)


==================== Loaded Modules (whitelisted) =============

2009-11-23 11:09 - 2009-11-23 11:09 - 00200704 _____ () C:\Program Files\netfenceVPN\Opswat\CAntiVirusCOM.exe
2010-03-10 14:50 - 2010-03-10 14:50 - 00099664 _____ () C:\Program Files\netfenceVPN\axl.dll
2013-12-05 10:09 - 2013-08-02 09:36 - 00011264 _____ () C:\Windows\System32\KOAZ8J_L.DLL
2014-02-26 15:13 - 2013-05-07 08:45 - 00936728 ____N () C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe
2014-02-26 15:13 - 2015-01-28 20:55 - 00027648 _____ () C:\Program Files\ASUS\AXSP\1.01.02\PEbiosinterface32.dll
2014-02-26 15:13 - 2013-05-07 08:45 - 00104448 ____N () C:\Program Files\ASUS\AXSP\1.01.02\ATKEX.dll
2014-02-26 16:37 - 2013-09-03 16:52 - 01242584 _____ () c:\Program Files\Intel\Intel(R) Management Engine Components\LMS\ACE.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)

AlternateDataStreams: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\WEB.DE Homepage.website:TASKICON_0web-720625059
AlternateDataStreams: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\WEB.DE Homepage.website:TASKICON_1web1934756139
AlternateDataStreams: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\WEB.DE Homepage.website:TASKICON_2web2064578788
AlternateDataStreams: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\WEB.DE Homepage.website:TASKICON_3web-1601376745
AlternateDataStreams: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\WEB.DE Homepage.website:TASKICON_4web1432927845

==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)


==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)


========================= Accounts: ==========================

Administrator (S-1-5-21-3317138025-3548756383-1990335332-500 - Administrator - Disabled)
Guest (S-1-5-21-3317138025-3548756383-1990335332-501 - Limited - Disabled)
**** (S-1-5-21-3317138025-3548756383-1990335332-1001 - Administrator - Enabled) => C:\Users\****

==================== Faulty Device Manager Devices =============

Could not list Devices. Check "winmgmt" service or repair WMI.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 7042) (User: )
Description: Windows Search wird aufgrund eines Problems bei der Indizierung The catalog is corrupt beendet.


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 7010) (User: )
Description: Der Index kann nicht initialisiert werden.


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3058) (User: )
Description: Die Anwendung kann nicht initialisiert werden.

Context: Windows Application


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3028) (User: )
Description: Das Gatherer-Objekt kann nicht initialisiert werden.

Context: Windows Application, SystemIndex Catalog


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3029) (User: )
Description: Plug-In in <Search.TripoliIndexer> kann nicht initialisiert werden.

Context: Windows Application, SystemIndex Catalog


Details:
	Element not found.  (HRESULT : 0x80070490) (0x80070490)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3029) (User: )
Description: Plug-In in <Search.JetPropStore> kann nicht initialisiert werden.

Context: Windows Application, SystemIndex Catalog


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 9002) (User: )
Description: Die Eigenschaftenspeicherdaten können von Windows Search nicht geladen werden.

Context: Windows Application, SystemIndex Catalog


Details:
	The content index server cannot update or access information because of a database error.  Stop and restart the search service.  If the problem persists, reset and recrawl the content index.  In some cases it may be necessary to delete and recreate the content index.  (HRESULT : 0x8004117f) (0x8004117f)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 7040) (User: )
Description: Vom Suchdienst wurden beschädigte Datendateien im Index {id=1100} erkannt. Vom Dienst wird versucht, dieses Problem durch Neuerstellung des Indexes automatisch zu beheben.


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 9000) (User: )
Description: Der Jet-Eigenschaftenspeicher kann von Windows Search nicht geöffnet werden.


Details:
	0x%08x (0x8004117f - The content index server cannot update or access information because of a database error.  Stop and restart the search service.  If the problem persists, reset and recrawl the content index.  In some cases it may be necessary to delete and recreate the content index.  (HRESULT : 0x8004117f))

Error: (01/28/2015 08:55:12 PM) (Source: ESENT) (EventID: 455) (User: )
Description: taskhost (1924) WebCacheLocal: Fehler -1811 beim Öffnen von Protokolldatei C:\Users\****\AppData\Local\Microsoft\Windows\WebCache\V010091D.log.


System errors:
=============
Error: (01/28/2015 09:12:47 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:12:17 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:11:47 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:11:17 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:10:47 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:10:17 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:09:47 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:09:17 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:08:47 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/28/2015 09:08:17 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Windows Management Instrumentation" wurde mit folgendem Fehler beendet: 
%%126


Microsoft Office Sessions:
=========================
Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 7042) (User: )
Description: 
Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)
The catalog is corrupt

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 7010) (User: )
Description: 
Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3058) (User: )
Description: Context: Windows Application


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3028) (User: )
Description: Context: Windows Application, SystemIndex Catalog


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3029) (User: )
Description: Context: Windows Application, SystemIndex Catalog


Details:
	Element not found.  (HRESULT : 0x80070490) (0x80070490)
Search.TripoliIndexer

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 3029) (User: )
Description: Context: Windows Application, SystemIndex Catalog


Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)
Search.JetPropStore

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 9002) (User: )
Description: Context: Windows Application, SystemIndex Catalog


Details:
	The content index server cannot update or access information because of a database error.  Stop and restart the search service.  If the problem persists, reset and recrawl the content index.  In some cases it may be necessary to delete and recreate the content index.  (HRESULT : 0x8004117f) (0x8004117f)

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 7040) (User: )
Description: 
Details:
	The content index catalog is corrupt.  (HRESULT : 0xc0041801) (0xc0041801)
1100

Error: (01/28/2015 08:55:18 PM) (Source: Windows Search Service) (EventID: 9000) (User: )
Description: 
Details:
	0x%08x (0x8004117f - The content index server cannot update or access information because of a database error.  Stop and restart the search service.  If the problem persists, reset and recrawl the content index.  In some cases it may be necessary to delete and recreate the content index.  (HRESULT : 0x8004117f))

Error: (01/28/2015 08:55:12 PM) (Source: ESENT) (EventID: 455) (User: )
Description: taskhost1924WebCacheLocal: C:\Users\****\AppData\Local\Microsoft\Windows\WebCache\V010091D.log-1811


CodeIntegrity Errors:
===================================
  Date: 2014-02-14 11:31:14.824
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-14 10:53:58.555
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-14 09:28:40.016
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-13 12:26:46.800
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-13 12:14:08.199
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-13 11:50:18.683
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-13 11:16:27.082
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-13 10:50:49.013
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-13 10:42:02.055
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2014-02-13 10:08:43.214
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\System32\sxs.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info =========================== 

Processor: Intel(R) Core(TM) i3-4130 CPU @ 3.40GHz
Percentage of memory in use: 35%
Total physical RAM: 2258.59 MB
Available physical RAM: 1447.72 MB
Total Pagefile: 2256.88 MB
Available Pagefile: 1435.54 MB
Total Virtual: 2047.88 MB
Available Virtual: 1925.68 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:111.69 GB) (Free:51.82 GB) NTFS
Drive d: (OTLPE) (Removable) (Total:3.81 GB) (Free:3.43 GB) FAT

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 40A8917D)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=111.7 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 3.8 GB) (Disk ID: 0217934C)
Partition 1: (Active) - (Size=3.8 GB) - (Type=0E)

==================== End Of Log ============================

schrauber · 29.01.2015, 17:23

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Prima68 · 30.01.2015, 00:19

Hallo, hier nur die Log-Datei aus Combofix.

Code:

ATTFilter

ComboFix 15-01-29.01 - **** 29.01.2015  23:56:16.1.4 - x86
ausgeführt von:: c:\users\****\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\D14D60966.cpp
c:\windows\system32\DEBUG.log
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_uvnc_service
.
.
(((((((((((((((((((((((   Dateien erstellt von 2014-12-28 bis 2015-01-29  ))))))))))))))))))))))))))))))
.
.
2015-01-28 21:26 . 2015-01-29 23:00	114904	----a-w-	c:\windows\system32\drivers\MBAMSwissArmy.sys
2015-01-28 21:26 . 2015-01-29 22:19	--------	d-----w-	c:\program files\ Malwarebytes Anti-Malware 
2015-01-28 21:26 . 2015-01-28 21:26	--------	d-----w-	c:\programdata\Malwarebytes
2015-01-28 21:26 . 2014-11-21 05:14	51928	----a-w-	c:\windows\system32\drivers\mwac.sys
2015-01-28 21:26 . 2014-11-21 05:14	75480	----a-w-	c:\windows\system32\drivers\mbamchameleon.sys
2015-01-28 21:26 . 2014-11-21 05:14	23256	----a-w-	c:\windows\system32\drivers\mbam.sys
2015-01-28 21:25 . 2015-01-28 21:25	--------	d-----w-	c:\users\****\AppData\Local\Programs
2015-01-28 19:50 . 2015-01-28 21:10	--------	d-----w-	C:\FRST
2015-01-28 19:38 . 2015-01-28 19:38	--------	d-----w-	c:\program files\CCleaner
2015-01-23 09:04 . 2014-12-02 11:01	9054624	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{15968E23-E9C2-4EFC-8CA6-EF95A7DF3E9F}\mpengine.dll
2015-01-18 08:40 . 2014-12-11 17:47	46592	----a-w-	c:\windows\system32\TSWbPrxy.exe
2015-01-18 08:40 . 2012-10-03 16:42	156672	----a-w-	c:\windows\system32\ncsi.dll
2015-01-18 08:40 . 2014-12-06 03:50	242688	----a-w-	c:\windows\system32\nlasvc.dll
2015-01-18 08:40 . 2012-10-03 16:42	52224	----a-w-	c:\windows\system32\nlaapi.dll
2015-01-18 08:40 . 2014-12-12 05:11	3971512	----a-w-	c:\windows\system32\ntkrnlpa.exe
2015-01-18 08:40 . 2014-12-12 05:11	3916728	----a-w-	c:\windows\system32\ntoskrnl.exe
2015-01-18 08:40 . 2014-12-19 02:43	164864	----a-w-	c:\windows\system32\profsvc.dll
2015-01-18 08:40 . 2014-12-19 01:34	116224	----a-w-	c:\windows\system32\drivers\mrxdav.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-01-29 23:00 . 2011-09-16 02:18	4194304	----a-w-	c:\windows\ServiceProfiles\NetworkService\msmqlog.bin
2015-01-08 08:55 . 2013-12-28 16:30	249488	----a-w-	c:\windows\system32\MpSigStub.exe
2014-11-22 02:20 . 2014-12-11 06:17	2724864	----a-w-	c:\windows\system32\mshtml.tlb
2014-11-22 02:20 . 2014-12-11 06:17	4096	----a-w-	c:\windows\system32\ieetwcollectorres.dll
2014-11-22 02:07 . 2014-12-11 06:17	501248	----a-w-	c:\windows\system32\vbscript.dll
2014-11-22 02:07 . 2014-12-11 06:17	62464	----a-w-	c:\windows\system32\iesetup.dll
2014-11-22 02:06 . 2014-12-11 06:17	47616	----a-w-	c:\windows\system32\ieetwproxystub.dll
2014-11-22 02:05 . 2014-12-11 06:17	64000	----a-w-	c:\windows\system32\MshtmlDac.dll
2014-11-22 01:55 . 2014-12-11 06:17	115712	----a-w-	c:\windows\system32\ieUnatt.exe
2014-11-22 01:55 . 2014-12-11 06:17	102912	----a-w-	c:\windows\system32\ieetwcollector.exe
2014-11-22 01:54 . 2014-12-11 06:17	620032	----a-w-	c:\windows\system32\jscript9diag.dll
2014-11-22 01:48 . 2014-12-11 06:17	667648	----a-w-	c:\windows\system32\MsSpellCheckingFacility.exe
2014-11-22 01:40 . 2014-12-11 06:17	60416	----a-w-	c:\windows\system32\JavaScriptCollectionAgent.dll
2014-11-22 01:29 . 2014-12-11 06:17	4299264	----a-w-	c:\windows\system32\jscript9.dll
2014-11-22 01:22 . 2014-12-11 06:17	2052096	----a-w-	c:\windows\system32\inetcpl.cpl
2014-11-22 01:21 . 2014-12-11 06:17	1155072	----a-w-	c:\windows\system32\mshtmlmedia.dll
2014-11-22 01:00 . 2014-12-11 06:17	1888256	----a-w-	c:\windows\system32\wininet.dll
2014-11-11 02:44 . 2014-12-11 06:17	1230336	----a-w-	c:\windows\system32\WindowsCodecs.dll
2014-11-11 02:44 . 2014-11-21 17:41	186880	----a-w-	c:\windows\system32\pku2u.dll
2014-11-11 02:44 . 2014-11-21 17:41	550912	----a-w-	c:\windows\system32\kerberos.dll
2014-11-08 02:45 . 2014-12-11 06:17	2048	----a-w-	c:\windows\system32\tzres.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"phion"="c:\program files\netfenceVPN\phion.exe" [2010-03-10 2712920]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe" [2013-08-07 36352]
"USB3MON"="c:\program files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2013-04-26 292848]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtkNGUI.exe" [2013-08-19 6336216]
"RtHDVBg_DTS"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2013-08-07 978648]
"MsmqIntCert"="mqrt.dll" [2010-11-20 152064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableChangePassword"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuMyGames"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoDragToolbar"= 1 (0x1)
"NoStartMenuSubFolders"= 1 (0x1)
"TaskbarNoRedock"= 1 (0x1)
"TaskbarNoResize"= 1 (0x1)
"TaskbarNoAddRemoveToolbar"= 1 (0x1)
"HideSCAVolume"= 1 (0x1)
"TaskbarLockAll"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest pku2u tspkg
.
[HKLM\~\startupfolder\C:^Users^****^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^66906D41D.lnk]
path=c:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\66906D41D.lnk
backup=c:\windows\pss\66906D41D.lnk.Startup
backupExtension=.Startup
.
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2013-08-07 15720]
R2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [2013-09-03 169432]
R3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys [2011-11-03 102888]
R3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys [2011-11-03 313832]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k6032.sys [2009-07-13 164864]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-11-22 102912]
R3 Intel(R) Capability Licensing Service TCP IP Interface;Intel(R) Capability Licensing Service TCP IP Interface;c:\program files\Intel\iCLS Client\SocketHeciServer.exe [2013-05-11 637912]
R3 NmPar;PCI Parallel Port;c:\windows\system32\DRIVERS\NmPar.sys [2012-09-17 80896]
R3 phionvpn; phion VPN Adapter Driver;c:\windows\system32\DRIVERS\phionvpn.sys [2009-11-23 31728]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
R3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;c:\windows\system32\drivers\Synth3dVsc.sys [2010-11-20 77184]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2010-11-20 25600]
R4 POSPerformanceCounters;Point Of Service Performance Counters;c:\program files\Microsoft Point Of Service\Microsoft.PointOfService.Service.exe [2008-02-29 42056]
S0 iaStorA;iaStorA;c:\windows\system32\DRIVERS\iaStorA.sys [2013-08-07 505192]
S0 iaStorF;iaStorF;c:\windows\system32\DRIVERS\iaStorF.sys [2013-08-07 25448]
S0 iusb3hcs;Intel(R) USB 3.0 Host Controller Switch Driver;c:\windows\system32\DRIVERS\iusb3hcs.sys [2013-04-26 16880]
S2 asComSvc;ASUS Com Service;c:\program files\ASUS\AXSP\1.01.02\atkexComSvc.exe [2013-05-07 936728]
S2 DialogFilter;Dialog Box Filter;c:\windows\system32\svchost.exe [2009-07-14 20992]
S2 DTSAudioSvc;DTSAudioSvc;c:\program files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe [2012-10-02 193480]
S2 ftpsvc;Microsoft FTP Service;c:\windows\system32\svchost.exe [2009-07-14 20992]
S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe [2013-05-11 586240]
S2 Intel(R) PROSet Monitoring Service;Intel(R) PROSet Monitoring Service;c:\windows\system32\IProsetMonitor.exe [2011-11-09 132768]
S2 iprip;RIP Listener;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 KeyboardFilter;Keyboard Filter;c:\windows\system32\svchost.exe [2009-07-14 20992]
S2 MBAMScheduler;MBAMScheduler;c:\program files\ Malwarebytes Anti-Malware \mbamscheduler.exe [2014-11-21 1871160]
S2 MBAMService;MBAMService;c:\program files\ Malwarebytes Anti-Malware \mbamservice.exe [2014-11-21 969016]
S2 NfsClnt;Client for NFS;c:\windows\system32\nfsclnt.exe [2010-11-20 52736]
S2 phions;entegra Client;c:\program files\netfenceVPN\phions.exe [2010-03-10 4498776]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-09-27 240232]
S2 TeamViewer9;TeamViewer 9;c:\program files\TeamViewer\Version9\TeamViewer_Service.exe [2014-09-12 4799760]
S3 iusb3hub;Intel(R) USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\iusb3hub.sys [2013-04-26 361968]
S3 iusb3xhc;Intel(R) USB 3.0 eXtensible Host Controller Driver;c:\windows\system32\DRIVERS\iusb3xhc.sys [2013-04-26 793072]
S3 kbldfltr;kbldfltr;c:\windows\system32\drivers\kbldfltr.sys [2011-09-16 15720]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2014-11-21 23256]
S3 MBAMWebAccessControl;MBAMWebAccessControl;c:\windows\system32\drivers\mwac.sys [2014-11-21 51928]
S3 MEI;Intel(R) Management Engine Interface ;c:\windows\system32\DRIVERS\TeeDriver.sys [2013-09-03 85464]
S3 NfsRdr;Client for NFS Redirector;c:\windows\system32\drivers\nfsrdr.sys [2010-11-20 201728]
S3 nmserial;PCI Serial Port;c:\windows\system32\DRIVERS\nmserial.sys [2012-09-17 70656]
S3 PsxDrv;PsxDrv;c:\windows\system32\drivers\psxdrv.sys [2009-07-14 9216]
S3 Ramdisk;Windows RAM Disk Driver;c:\windows\system32\DRIVERS\ramdisk.sys [2009-07-13 22016]
S3 RpcXdr;Server for NFS Open RPC (ONCRPC);c:\windows\system32\drivers\rpcxdr.sys [2010-11-20 87040]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2012-12-26 614624]
S3 TsUsbFlt;TsUsbFlt; [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - USBSTOR
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	BFE mpssvc DPS PLA WwanSvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SCardSvr SSDPSRV upnphost QWAVE TBS wcncsvc AppIDSvc SensrSvc fdrespub
ftpsvc	REG_MULTI_SZ   	ftpsvc
iissvcs	REG_MULTI_SZ   	w3svc was
apphost	REG_MULTI_SZ   	apphostsvc
ipripsvc	REG_MULTI_SZ   	iprip
LPDService	REG_MULTI_SZ   	LPDSVC
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
DialogFilter
KeyboardFilter
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
TCP: DhcpNameServer = 83.169.186.161 83.169.186.225
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Sidebar - c:\program files\Windows Sidebar\Sidebar.exe
AddRemove-Malwarebytes Anti-Malware_is1 - c:\program files\ Malwarebytes Anti-Malware \unins000.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_170_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_170_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\psxss.exe
c:\windows\system32\nvvsvc.exe
c:\program files\netfenceVPN\Opswat\CAntiVirusCOM.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\windows\system32\CISVC.EXE
c:\windows\system32\DialogFilter.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\windows\system32\mqsvc.exe
c:\windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
c:\program files\ Malwarebytes Anti-Malware \mbam.exe
c:\windows\System32\tcpsvcs.exe
c:\windows\System32\snmp.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\WUDFHost.exe
c:\program files\TeamViewer\Version9\TeamViewer.exe
c:\program files\TeamViewer\Version9\tv_w32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2015-01-30  00:01:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2015-01-29 23:01
.
Vor Suchlauf: 14 Verzeichnis(se), 55.172.870.144 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 54.661.246.976 Bytes frei
.
- - End Of File - - 56C687C7B74A2D655FC48747B39A5D46
A36C5E4F47E84449FF07ED3517B43A31

schrauber · 30.01.2015, 11:40

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Prima68 · 30.01.2015, 19:42

Ok, dann wollen wir mal. Hier die gewünschten Anhänge:

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 30.01.2015
Suchlauf-Zeit: 18:49:03
Logdatei: mbam.txt
Administrator: Ja

Version: 2.00.4.1028
Malware Datenbank: v2014.11.20.06
Rootkit Datenbank: v2014.11.18.01
Lizenz: Testversion
Malware Schutz: Aktiviert
Bösartiger Webseiten Schutz: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x86
Dateisystem: NTFS
Benutzer: ****

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 293670
Verstrichene Zeit: 5 Min, 19 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente erkannt)

Module: 0
(Keine schädliche Elemente erkannt)

Registrierungsschlüssel: 0
(Keine schädliche Elemente erkannt)

Registrierungswerte: 0
(Keine schädliche Elemente erkannt)

Registrierungsdaten: 0
(Keine schädliche Elemente erkannt)

Ordner: 0
(Keine schädliche Elemente erkannt)

Dateien: 0
(Keine schädliche Elemente erkannt)

Physische Sektoren: 0
(Keine schädliche Elemente erkannt)


(end)

Code:

ATTFilter

# AdwCleaner v4.109 - Report created 30/01/2015 at 19:02:12
# Updated 24/01/2015 by Xplode
# Database : 2015-01-24.3 [Local]
# Operating System : Windows Embedded Standard Service Pack 1 (32 bits)
# Username : **** - ****-PC
# Running from : C:\Users\****\Desktop\AdwCleaner_4.109.exe
# Option : Clean

***** [ Services ] *****


***** [ Files / Folders ] *****


***** [ Scheduled Tasks ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****


***** [ Browsers ] *****

-\\ Internet Explorer v11.0.9600.17496


*************************

AdwCleaner[R0].txt - [726 octets] - [30/01/2015 18:58:30]
AdwCleaner[R1].txt - [785 octets] - [30/01/2015 19:00:06]
AdwCleaner[S0].txt - [707 octets] - [30/01/2015 19:02:12]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [766 octets] ##########

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Windows Embedded Standard x86
Ran by Happybet on 30.01.2015 at 19:06:02,70
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 30.01.2015 at 19:09:03,13
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 28-01-2015 01
Ran by **** (administrator) on ****-PC on 30-01-2015 19:11:12
Running from C:\Users\****\Desktop
Loaded Profiles: **** (Available profiles: ****)
Platform: Microsoft Windows Embedded Standard  Service Pack 1 (X86) OS Language: Englisch (USA)
Internet Explorer Version 11 (Default browser: IE)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Corporation) C:\Windows\System32\psxss.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(phion AG) C:\Program Files\netfenceVPN\phions.exe
() C:\Program Files\netfenceVPN\Opswat\CAntiVirusCOM.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(phion AG) C:\Program Files\netfenceVPN\phion.exe
() C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe
(Microsoft Corporation) C:\Windows\System32\CISVC.EXE
(Intel Corporation) C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe
(DTS, Inc) C:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe
(Microsoft Corporation) C:\Windows\System32\DialogFilter.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe
(Microsoft Corporation) C:\Windows\System32\inetsrv\inetinfo.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe
(Microsoft Corporation) C:\Windows\System32\mqsvc.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(Microsoft Corporation) C:\Windows\System32\TCPSVCS.EXE
(Microsoft Corporation) C:\Windows\System32\snmp.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe
(Microsoft Corporation) C:\Windows\System32\mqtgsvc.exe
(Microsoft Corporation) C:\Windows\System32\nfsclnt.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\tv_w32.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [phion] => C:\Program Files\netfenceVPN\phion.exe [2712920 2010-03-10] (phion AG)
HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation)
HKLM\...\Run: [USB3MON] => c:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-26] (Intel Corporation)
HKLM\...\Run: [RTHDVCPL] => c:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe [6336216 2013-08-19] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_DTS] => c:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe [978648 2013-08-07] (Realtek Semiconductor)
HKLM\...\Run: [MsmqIntCert] => regsvr32 /s mqrt.dll
HKLM\...\Policies\Explorer: [] 
HKLM\...\Policies\Explorer: [NoStartMenuMyGames] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [DisableChangePassword] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoDragToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoUserNameInStartMenu] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoStartMenuSubFolders] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoRedock] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoResize] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoAddRemoveToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [HideSCAVolume] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarLockAll] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [LockTaskbar] 1

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab
Tcpip\Parameters: [DhcpNameServer] 83.169.186.161 83.169.186.225

FireFox:
========
FF Plugin: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
FF Plugin: @intel-webapi.intel.com/Intel WebAPI updater -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 asComSvc; C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe [936728 2013-05-07] ()
R2 DialogFilter; C:\Windows\System32\DialogFilterSvc.dll [27496 2010-04-02] (Microsoft Corporation)
R2 DTSAudioSvc; c:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe [193480 2012-10-02] (DTS, Inc)
R2 ftpsvc; C:\Windows\system32\inetsrv\ftpsvc.dll [310272 2012-06-01] (Microsoft Corporation)
R2 IISADMIN; C:\Windows\system32\inetsrv\inetinfo.exe [13824 2009-07-14] (Microsoft Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [586240 2013-05-11] (Intel(R) Corporation) [File not signed]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [637912 2013-05-11] (Intel(R) Corporation)
R2 Intel(R) PROSet Monitoring Service; C:\Windows\system32\IProsetMonitor.exe [132768 2011-11-09] (Intel Corporation)
U2 iprip; C:\Windows\System32\iprip.dll [29696 2009-07-14] (Microsoft Corporation)
R2 jhi_service; c:\Program Files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-09-03] (Intel Corporation)
R2 KeyboardFilter; C:\Windows\System32\KeyboardFilterSvc.dll [37736 2011-09-16] (Microsoft Corporation)
R2 MBAMScheduler; c:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe [1871160 2014-11-21] (Malwarebytes Corporation)
R2 MBAMService; c:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe [969016 2014-11-21] (Malwarebytes Corporation)
R2 MSMQ; C:\Windows\system32\mqsvc.exe [8704 2009-07-14] (Microsoft Corporation)
R2 MSMQTriggers; C:\Windows\system32\mqtgsvc.exe [126464 2010-11-20] (Microsoft Corporation)
R2 NfsClnt; C:\Windows\system32\nfsclnt.exe [52736 2010-11-20] (Microsoft Corporation)
R2 phions; C:\Program Files\netfenceVPN\phions.exe [4498776 2010-03-10] (phion AG)
S4 POSPerformanceCounters; C:\Program Files\Microsoft Point Of Service\Microsoft.PointOfService.Service.exe [42056 2008-02-29] (Microsoft Corporation)
R2 WinDefend; c:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)
S2 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R1 AsIO; C:\Windows\System32\drivers\AsIO.sys [14720 2012-08-22] ()
S3 asmthub3; C:\Windows\System32\DRIVERS\asmthub3.sys [102888 2011-11-03] (ASMedia Technology Inc)
S3 asmtxhci; C:\Windows\System32\DRIVERS\asmtxhci.sys [313832 2011-11-03] (ASMedia Technology Inc)
S3 e1kexpress; C:\Windows\System32\DRIVERS\e1k6032.sys [164864 2009-07-14] (Intel Corporation)
S3 e1qexpress; C:\Windows\System32\DRIVERS\e1q6232.sys [279208 2011-10-13] (Intel Corporation)
R0 iaStorA; C:\Windows\System32\DRIVERS\iaStorA.sys [505192 2013-08-07] (Intel Corporation)
R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [25448 2013-08-07] (Intel Corporation)
R0 iusb3hcs; C:\Windows\System32\DRIVERS\iusb3hcs.sys [16880 2013-04-26] (Intel Corporation)
R3 iusb3hub; C:\Windows\System32\DRIVERS\iusb3hub.sys [361968 2013-04-26] (Intel Corporation)
R3 iusb3xhc; C:\Windows\System32\DRIVERS\iusb3xhc.sys [793072 2013-04-26] (Intel Corporation)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2014-11-21] (Malwarebytes Corporation)
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [114904 2015-01-30] (Malwarebytes Corporation)
R3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2014-11-21] (Malwarebytes Corporation)
R3 MEI; C:\Windows\System32\DRIVERS\TeeDriver.sys [85464 2013-09-03] (Intel Corporation)
R3 mf; C:\Windows\System32\DRIVERS\mf.sys [114176 2009-07-14] (Microsoft Corporation)
R3 MQAC; C:\Windows\System32\drivers\mqac.sys [141824 2010-11-20] (Microsoft Corporation)
S3 NmPar; C:\Windows\System32\DRIVERS\NmPar.sys [80896 2012-09-17] ()
R3 nmserial; C:\Windows\System32\DRIVERS\nmserial.sys [70656 2012-09-17] (Windows (R) Win 7 DDK provider)
S3 phionvpn; C:\Windows\System32\DRIVERS\phionvpn.sys [31728 2009-11-23] (Phion AG)
R3 Ramdisk; C:\Windows\System32\DRIVERS\ramdisk.sys [22016 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\Users\****\AppData\Local\Temp\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

==================== NetSvcs (Whitelisted) ===================


(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)

NETSVC: DialogFilter -> C:\Windows\System32\DialogFilterSvc.dll (Microsoft Corporation)
NETSVC: KeyboardFilter -> C:\Windows\System32\KeyboardFilterSvc.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-30 19:11 - 2015-01-30 19:11 - 00012007 _____ () C:\Users\****\Desktop\FRST.txt
2015-01-30 19:11 - 2015-01-28 20:18 - 01121792 _____ (Farbar) C:\Users\****\Desktop\FRST.exe
2015-01-30 19:09 - 2015-01-30 19:09 - 00000631 _____ () C:\Users\****\Desktop\JRT.txt
2015-01-30 19:06 - 2015-01-30 19:06 - 00000000 ____D () C:\Windows\ERUNT
2015-01-30 19:05 - 2015-01-30 18:20 - 01707939 _____ (Thisisu) C:\Users\****\Desktop\JRT.exe
2015-01-30 18:58 - 2015-01-30 19:02 - 00000000 ____D () C:\AdwCleaner
2015-01-30 18:58 - 2015-01-30 18:23 - 02194432 _____ () C:\Users\****\Desktop\AdwCleaner_4.109.exe
2015-01-30 00:01 - 2015-01-30 00:01 - 00014651 _____ () C:\ComboFix.txt
2015-01-30 00:00 - 2015-01-30 19:02 - 00000850 _____ () C:\Windows\PFRO.log
2015-01-29 23:54 - 2015-01-30 00:01 - 00000000 ____D () C:\Qoobox
2015-01-29 23:54 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-01-29 23:54 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-01-29 23:54 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
2015-01-29 23:51 - 2015-01-30 00:00 - 00000000 ____D () C:\Windows\erdnt
2015-01-29 23:48 - 2015-01-29 23:44 - 05611408 ____R (Swearware) C:\Users\****\Desktop\ComboFix.exe
2015-01-29 23:38 - 2015-01-30 19:07 - 00029365 _____ () C:\Windows\WindowsUpdate.log
2015-01-29 23:36 - 2015-01-30 19:02 - 00001130 _____ () C:\Windows\setupact.log
2015-01-29 23:36 - 2015-01-29 23:36 - 00000000 _____ () C:\Windows\setuperr.log
2015-01-29 23:29 - 2015-01-29 23:29 - 00000000 ____D () C:\Windows\pss
2015-01-28 22:26 - 2015-01-30 18:44 - 00114904 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-28 22:26 - 2015-01-29 23:19 - 00000000 ____D () c:\Program Files\ Malwarebytes Anti-Malware 
2015-01-28 22:26 - 2015-01-28 22:26 - 00001064 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2015-01-28 22:26 - 2015-01-28 22:26 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2015-01-28 22:26 - 2015-01-28 22:26 - 00000000 ____D () C:\ProgramData\Malwarebytes
2015-01-28 22:26 - 2014-11-21 06:14 - 00075480 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-01-28 22:26 - 2014-11-21 06:14 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-01-28 22:26 - 2014-11-21 06:14 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-01-28 22:25 - 2015-01-28 22:23 - 20447072 _____ (Malwarebytes Corporation ) C:\Users\****\Downloads\mbam-setup-2.0.4.1028.exe
2015-01-28 20:50 - 2015-01-30 19:11 - 00000000 ____D () C:\FRST
2015-01-28 20:38 - 2015-01-28 20:38 - 00000969 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () c:\Program Files\CCleaner
2015-01-28 20:38 - 2013-03-23 10:47 - 04190272 _____ (Piriform Ltd) C:\Users\****\Downloads\ccsetup328.exe
2015-01-18 09:40 - 2014-12-19 03:43 - 00164864 _____ (Microsoft Corporation) C:\Windows\system32\profsvc.dll
2015-01-18 09:40 - 2014-12-19 02:34 - 00116224 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2015-01-18 09:40 - 2014-12-12 06:11 - 03971512 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2015-01-18 09:40 - 2014-12-12 06:11 - 03916728 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-01-18 09:40 - 2014-12-11 18:47 - 00046592 _____ (Microsoft Corporation) C:\Windows\system32\TSWbPrxy.exe
2015-01-18 09:40 - 2014-12-06 04:50 - 00242688 _____ (Microsoft Corporation) C:\Windows\system32\nlasvc.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00156672 _____ (Microsoft Corporation) C:\Windows\system32\ncsi.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00052224 _____ (Microsoft Corporation) C:\Windows\system32\nlaapi.dll

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-30 19:11 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-30 19:11 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-30 19:09 - 2010-12-10 19:13 - 01715020 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-01-30 19:04 - 2010-04-02 07:08 - 00000000 ____D () C:\Windows\system32\inetsrv
2015-01-30 19:02 - 2013-12-28 17:06 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-01-30 19:02 - 2011-09-16 03:16 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-30 00:01 - 2010-04-02 07:08 - 00000000 __RHD () C:\Users\Default
2015-01-30 00:01 - 2010-04-02 07:08 - 00000000 ___RD () C:\Users\Public
2015-01-30 00:00 - 2010-04-02 06:55 - 00000215 _____ () C:\Windows\system.ini
2015-01-30 00:00 - 2010-04-02 06:54 - 44826624 _____ () C:\Windows\system32\config\SYSTEM.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 39845888 _____ () C:\Windows\system32\config\SOFTWARE.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\SECURITY.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\SAM.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\DEFAULT.bak
2015-01-28 20:39 - 2013-12-29 08:42 - 00000000 ____D () C:\Windows\Panther
2015-01-27 20:37 - 2011-09-16 03:16 - 00032608 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2015-01-24 12:04 - 2014-07-31 08:44 - 00000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2015-01-08 09:55 - 2013-12-28 17:30 - 00249488 _____ (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe

==================== Files in the root of some directories =======

2014-07-31 08:44 - 2015-01-24 12:04 - 0000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2014-07-29 20:12 - 2014-07-29 20:12 - 0000017 _____ () C:\Users\****\AppData\Local\resmon.resmoncfg
2008-02-05 13:28 - 2008-02-05 13:28 - 0000051 _____ () C:\Users\****\AppData\Local\setup.txt
2014-02-26 16:35 - 2014-02-26 16:35 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

Some content of TEMP:
====================
C:\Users\****\AppData\Local\temp\Quarantine.exe
C:\Users\****\AppData\Local\temp\sqlite3.dll


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-28 22:55

==================== End Of Log ============================

--- --- ---

--- --- ---

schrauber · 31.01.2015, 11:37

nur noch Kontrollscans:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme?

Prima68 · 02.02.2015, 23:06

Hi, hier die Dateien.

Probleme tauchen nicht mehr auf.

Ich sehe aber gerade, dass gar kein Anti-Virus-Programm installiert ist. Gibt es da von dir evtl eine Empfehlung?

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=c18c925ff28e1e4abe99962cff81c6b7
# engine=22272
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2015-02-02 09:31:16
# local_time=2015-02-02 10:31:16 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 1162 174543866 0 0
# scanned=83841
# found=2
# cleaned=0
# scan_time=895
sh=6F65C226DCDAE3F1A96BDCCDA60D5147A31AB481 ft=1 fh=5edc13308532f1d9 vn="Win32/Reveton.AL Trojaner" ac=I fn="C:\Qoobox\Quarantine\C\ProgramData\D14D60966.cpp.vir"
sh=3D84C7C0E316EAD02DD7A59E746EC798DAB8BC0C ft=1 fh=ce50a11e70bad71c vn="Win32/Bundled.Toolbar.Google.D potenziell unsichere Anwendung" ac=I fn="C:\Users\****\Downloads\ccsetup328.exe"

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.95  
  Service Pack 1 x86 (UAC is disabled!)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
 WMI entry may not exist for antivirus; attempting automatic update. 
`````````Anti-malware/Other Utilities Check:````````` 
 CCleaner     
  Java 64-bit 8 Update 31  
 Adobe Reader XI  
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 netfenceVPN Opswat CAntiVirusCOM.exe  
 Malwarebytes Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 01-02-2015
Ran by **** (administrator) on ****-PC on 02-02-2015 22:47:28
Running from C:\Users\****\Desktop
Loaded Profiles: **** (Available profiles: ****)
Platform: Microsoft Windows Embedded Standard  Service Pack 1 (X86) OS Language: Englisch (USA)
Internet Explorer Version 11 (Default browser: IE)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Corporation) C:\Windows\System32\psxss.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(phion AG) C:\Program Files\netfenceVPN\phions.exe
() C:\Program Files\netfenceVPN\Opswat\CAntiVirusCOM.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
() C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe
(phion AG) C:\Program Files\netfenceVPN\phion.exe
(Microsoft Corporation) C:\Windows\System32\CISVC.EXE
(DTS, Inc) C:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe
(Microsoft Corporation) C:\Windows\System32\DialogFilter.exe
(Microsoft Corporation) C:\Windows\System32\inetsrv\inetinfo.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe
(Microsoft Corporation) C:\Windows\System32\mqsvc.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(Microsoft Corporation) C:\Windows\System32\TCPSVCS.EXE
(Microsoft Corporation) C:\Windows\System32\snmp.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe
(Microsoft Corporation) C:\Windows\System32\mqtgsvc.exe
(Microsoft Corporation) C:\Windows\System32\nfsclnt.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\tv_w32.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbam.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [phion] => C:\Program Files\netfenceVPN\phion.exe [2712920 2010-03-10] (phion AG)
HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation)
HKLM\...\Run: [USB3MON] => c:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-26] (Intel Corporation)
HKLM\...\Run: [RTHDVCPL] => c:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe [6336216 2013-08-19] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_DTS] => c:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe [978648 2013-08-07] (Realtek Semiconductor)
HKLM\...\Run: [MsmqIntCert] => regsvr32 /s mqrt.dll
HKLM\...\Policies\Explorer: [] 
HKLM\...\Policies\Explorer: [NoStartMenuMyGames] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [DisableChangePassword] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoDragToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoUserNameInStartMenu] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoStartMenuSubFolders] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoRedock] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoResize] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoAddRemoveToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [HideSCAVolume] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarLockAll] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [LockTaskbar] 1

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF Plugin: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
FF Plugin: @intel-webapi.intel.com/Intel WebAPI updater -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 asComSvc; C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe [936728 2013-05-07] ()
R2 DialogFilter; C:\Windows\System32\DialogFilterSvc.dll [27496 2010-04-02] (Microsoft Corporation)
R2 DTSAudioSvc; c:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe [193480 2012-10-02] (DTS, Inc)
R2 ftpsvc; C:\Windows\system32\inetsrv\ftpsvc.dll [310272 2012-06-01] (Microsoft Corporation)
R2 IISADMIN; C:\Windows\system32\inetsrv\inetinfo.exe [13824 2009-07-14] (Microsoft Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [586240 2013-05-11] (Intel(R) Corporation) [File not signed]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [637912 2013-05-11] (Intel(R) Corporation)
R2 Intel(R) PROSet Monitoring Service; C:\Windows\system32\IProsetMonitor.exe [132768 2011-11-09] (Intel Corporation)
U2 iprip; C:\Windows\System32\iprip.dll [29696 2009-07-14] (Microsoft Corporation)
R2 jhi_service; c:\Program Files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-09-03] (Intel Corporation)
R2 KeyboardFilter; C:\Windows\System32\KeyboardFilterSvc.dll [37736 2011-09-16] (Microsoft Corporation)
R2 MBAMScheduler; c:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe [1871160 2014-11-21] (Malwarebytes Corporation)
R2 MBAMService; c:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe [969016 2014-11-21] (Malwarebytes Corporation)
R2 MSMQ; C:\Windows\system32\mqsvc.exe [8704 2009-07-14] (Microsoft Corporation)
R2 MSMQTriggers; C:\Windows\system32\mqtgsvc.exe [126464 2010-11-20] (Microsoft Corporation)
R2 NfsClnt; C:\Windows\system32\nfsclnt.exe [52736 2010-11-20] (Microsoft Corporation)
R2 phions; C:\Program Files\netfenceVPN\phions.exe [4498776 2010-03-10] (phion AG)
S4 POSPerformanceCounters; C:\Program Files\Microsoft Point Of Service\Microsoft.PointOfService.Service.exe [42056 2008-02-29] (Microsoft Corporation)
R2 WinDefend; c:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)
S2 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R1 AsIO; C:\Windows\System32\drivers\AsIO.sys [14720 2012-08-22] ()
S3 asmthub3; C:\Windows\System32\DRIVERS\asmthub3.sys [102888 2011-11-03] (ASMedia Technology Inc)
S3 asmtxhci; C:\Windows\System32\DRIVERS\asmtxhci.sys [313832 2011-11-03] (ASMedia Technology Inc)
S3 e1kexpress; C:\Windows\System32\DRIVERS\e1k6032.sys [164864 2009-07-14] (Intel Corporation)
S3 e1qexpress; C:\Windows\System32\DRIVERS\e1q6232.sys [279208 2011-10-13] (Intel Corporation)
R0 iaStorA; C:\Windows\System32\DRIVERS\iaStorA.sys [505192 2013-08-07] (Intel Corporation)
R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [25448 2013-08-07] (Intel Corporation)
R0 iusb3hcs; C:\Windows\System32\DRIVERS\iusb3hcs.sys [16880 2013-04-26] (Intel Corporation)
R3 iusb3hub; C:\Windows\System32\DRIVERS\iusb3hub.sys [361968 2013-04-26] (Intel Corporation)
R3 iusb3xhc; C:\Windows\System32\DRIVERS\iusb3xhc.sys [793072 2013-04-26] (Intel Corporation)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2014-11-21] (Malwarebytes Corporation)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [114904 2015-02-02] (Malwarebytes Corporation)
R3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2014-11-21] (Malwarebytes Corporation)
R3 MEI; C:\Windows\System32\DRIVERS\TeeDriver.sys [85464 2013-09-03] (Intel Corporation)
R3 mf; C:\Windows\System32\DRIVERS\mf.sys [114176 2009-07-14] (Microsoft Corporation)
R3 MQAC; C:\Windows\System32\drivers\mqac.sys [141824 2010-11-20] (Microsoft Corporation)
S3 NmPar; C:\Windows\System32\DRIVERS\NmPar.sys [80896 2012-09-17] ()
R3 nmserial; C:\Windows\System32\DRIVERS\nmserial.sys [70656 2012-09-17] (Windows (R) Win 7 DDK provider)
S3 phionvpn; C:\Windows\System32\DRIVERS\phionvpn.sys [31728 2009-11-23] (Phion AG)
R3 Ramdisk; C:\Windows\System32\DRIVERS\ramdisk.sys [22016 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\Users\****\AppData\Local\Temp\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)

NETSVC: DialogFilter -> C:\Windows\System32\DialogFilterSvc.dll (Microsoft Corporation)
NETSVC: KeyboardFilter -> C:\Windows\System32\KeyboardFilterSvc.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-02-02 22:47 - 2015-02-02 22:47 - 00012121 _____ () C:\Users\****\Desktop\FRST.txt
2015-02-02 22:47 - 2015-02-02 22:47 - 00000000 ____D () C:\Users\****\Desktop\FRST-OlderVersion
2015-02-02 19:47 - 2015-01-30 19:55 - 00852573 _____ () C:\Users\****\Desktop\SecurityCheck.exe
2015-02-02 19:47 - 2015-01-30 19:53 - 02347384 _____ (ESET) C:\Users\****\Desktop\esetsmartinstaller_deu.exe
2015-01-30 19:11 - 2015-02-02 22:47 - 01122304 _____ (Farbar) C:\Users\****\Desktop\FRST.exe
2015-01-30 19:06 - 2015-01-30 19:06 - 00000000 ____D () C:\Windows\ERUNT
2015-01-30 19:05 - 2015-01-30 18:20 - 01707939 _____ (Thisisu) C:\Users\****\Desktop\JRT.exe
2015-01-30 18:58 - 2015-01-30 19:02 - 00000000 ____D () C:\AdwCleaner
2015-01-30 18:58 - 2015-01-30 18:23 - 02194432 _____ () C:\Users\****\Desktop\AdwCleaner_4.109.exe
2015-01-30 00:01 - 2015-01-30 00:01 - 00014651 _____ () C:\ComboFix.txt
2015-01-30 00:00 - 2015-01-30 19:02 - 00000850 _____ () C:\Windows\PFRO.log
2015-01-29 23:54 - 2015-01-30 00:01 - 00000000 ____D () C:\Qoobox
2015-01-29 23:54 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-01-29 23:54 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-01-29 23:54 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
2015-01-29 23:51 - 2015-01-30 00:00 - 00000000 ____D () C:\Windows\erdnt
2015-01-29 23:48 - 2015-01-29 23:44 - 05611408 ____R (Swearware) C:\Users\****\Desktop\ComboFix.exe
2015-01-29 23:38 - 2015-02-02 22:12 - 00063008 _____ () C:\Windows\WindowsUpdate.log
2015-01-29 23:36 - 2015-02-02 22:04 - 00001298 _____ () C:\Windows\setupact.log
2015-01-29 23:36 - 2015-01-29 23:36 - 00000000 _____ () C:\Windows\setuperr.log
2015-01-29 23:29 - 2015-01-29 23:29 - 00000000 ____D () C:\Windows\pss
2015-01-28 22:26 - 2015-02-02 22:41 - 00114904 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-28 22:26 - 2015-01-29 23:19 - 00000000 ____D () c:\Program Files\ Malwarebytes Anti-Malware 
2015-01-28 22:26 - 2015-01-28 22:26 - 00001064 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2015-01-28 22:26 - 2015-01-28 22:26 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2015-01-28 22:26 - 2015-01-28 22:26 - 00000000 ____D () C:\ProgramData\Malwarebytes
2015-01-28 22:26 - 2014-11-21 06:14 - 00075480 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-01-28 22:26 - 2014-11-21 06:14 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-01-28 22:26 - 2014-11-21 06:14 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-01-28 22:25 - 2015-01-28 22:23 - 20447072 _____ (Malwarebytes Corporation ) C:\Users\****\Downloads\mbam-setup-2.0.4.1028.exe
2015-01-28 20:50 - 2015-02-02 22:47 - 00000000 ____D () C:\FRST
2015-01-28 20:38 - 2015-01-28 20:38 - 00000969 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () c:\Program Files\CCleaner
2015-01-28 20:38 - 2013-03-23 10:47 - 04190272 _____ (Piriform Ltd) C:\Users\****\Downloads\ccsetup328.exe
2015-01-18 09:40 - 2014-12-19 03:43 - 00164864 _____ (Microsoft Corporation) C:\Windows\system32\profsvc.dll
2015-01-18 09:40 - 2014-12-19 02:34 - 00116224 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2015-01-18 09:40 - 2014-12-12 06:11 - 03971512 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2015-01-18 09:40 - 2014-12-12 06:11 - 03916728 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-01-18 09:40 - 2014-12-11 18:47 - 00046592 _____ (Microsoft Corporation) C:\Windows\system32\TSWbPrxy.exe
2015-01-18 09:40 - 2014-12-06 04:50 - 00242688 _____ (Microsoft Corporation) C:\Windows\system32\nlasvc.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00156672 _____ (Microsoft Corporation) C:\Windows\system32\ncsi.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00052224 _____ (Microsoft Corporation) C:\Windows\system32\nlaapi.dll

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-02-02 22:16 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-02-02 22:16 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-02-02 22:11 - 2010-12-10 19:13 - 01715020 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-02-02 22:06 - 2010-04-02 07:08 - 00000000 ____D () C:\Windows\system32\inetsrv
2015-02-02 22:04 - 2013-12-28 17:06 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-02-02 22:04 - 2011-09-16 03:16 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-30 00:01 - 2010-04-02 07:08 - 00000000 __RHD () C:\Users\Default
2015-01-30 00:01 - 2010-04-02 07:08 - 00000000 ___RD () C:\Users\Public
2015-01-30 00:00 - 2010-04-02 06:55 - 00000215 _____ () C:\Windows\system.ini
2015-01-30 00:00 - 2010-04-02 06:54 - 44826624 _____ () C:\Windows\system32\config\SYSTEM.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 39845888 _____ () C:\Windows\system32\config\SOFTWARE.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\SECURITY.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\SAM.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\DEFAULT.bak
2015-01-28 20:39 - 2013-12-29 08:42 - 00000000 ____D () C:\Windows\Panther
2015-01-27 20:37 - 2011-09-16 03:16 - 00032608 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2015-01-24 12:04 - 2014-07-31 08:44 - 00000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2015-01-08 09:55 - 2013-12-28 17:30 - 00249488 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe

==================== Files in the root of some directories =======

2014-07-31 08:44 - 2015-01-24 12:04 - 0000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2014-07-29 20:12 - 2014-07-29 20:12 - 0000017 _____ () C:\Users\****\AppData\Local\resmon.resmoncfg
2008-02-05 13:28 - 2008-02-05 13:28 - 0000051 _____ () C:\Users\****\AppData\Local\setup.txt
2014-02-26 16:35 - 2014-02-26 16:35 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-28 22:55

==================== End Of Log ============================

--- --- ---

--- --- ---

schrauber · 03.02.2015, 11:50

Ich empfehle immer Emsisoft. hast Du die ganzen Policies mit Absicht gesetzt?

Prima68 · 03.02.2015, 13:00

Nein, ich habe nichts mit Absicht gesetzt. Ich weiß, ehrlich gesagt, auch gar nicht, was Policies genau sind. Macht es Sinn diese wieder herauszunehmen und wenn ja wie geht das?

Gibt es auch eine Empfehlung für ein kostenloses Antivirus-Programm? ;-)

Sonst scheint der PC wieder i.O. zu sein oder was sagen dir die Log-Dateien?

schrauber · 03.02.2015, 13:39

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKLM\...\Run: [MsmqIntCert] => regsvr32 /s mqrt.dll
HKLM\...\Policies\Explorer: [] 
HKLM\...\Policies\Explorer: [NoStartMenuMyGames] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\system: [DisableChangePassword] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoDragToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoUserNameInStartMenu] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [NoStartMenuSubFolders] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoRedock] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoResize] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarNoAddRemoveToolbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [HideSCAVolume] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [TaskbarLockAll] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\...\Policies\Explorer: [LockTaskbar] 1
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Free AV gibt es eigentlich mittlerweile nur noch Bitdefender, die dich nicht mit Werbung, Toolbars oder Adware erschlagen.
Aber 11 Cent am Tag für nen AV find ich jetzt nit tragisch

.

Fertig

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Falls Du Lob oder Kritik abgeben möchtest kannst Du das hier tun

Hier noch ein paar Tipps zur Absicherung deines Systems.

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
WinPatrol
Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Prima68 · 03.02.2015, 19:53

Hallo,

danke für deine Unterstützung. Abschließend nochmals die Log-Datei. Alles soweit i.O.?

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 01-02-2015
Ran by **** (administrator) on ****-PC on 03-02-2015 19:37:29
Running from C:\Users\****\Desktop
Loaded Profiles: **** (Available profiles: ****)
Platform: Microsoft Windows Embedded Standard  Service Pack 1 (X86) OS Language: Englisch (USA)
Internet Explorer Version 11 (Default browser: IE)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Corporation) C:\Windows\System32\psxss.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(phion AG) C:\Program Files\netfenceVPN\phions.exe
() C:\Program Files\netfenceVPN\Opswat\CAntiVirusCOM.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(phion AG) C:\Program Files\netfenceVPN\phion.exe
() C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe
(Microsoft Corporation) C:\Windows\System32\CISVC.EXE
(DTS, Inc) C:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe
(Microsoft Corporation) C:\Windows\System32\DialogFilter.exe
(Microsoft Corporation) C:\Windows\System32\inetsrv\inetinfo.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe
(Microsoft Corporation) C:\Windows\System32\mqsvc.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(Microsoft Corporation) C:\Windows\System32\TCPSVCS.EXE
(Microsoft Corporation) C:\Windows\System32\snmp.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer_Service.exe
(Microsoft Corporation) C:\Windows\System32\mqtgsvc.exe
(Microsoft Corporation) C:\Windows\System32\nfsclnt.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
(Intel Corporation) C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\TeamViewer.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version9\tv_w32.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [phion] => C:\Program Files\netfenceVPN\phion.exe [2712920 2010-03-10] (phion AG)
HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation)
HKLM\...\Run: [USB3MON] => c:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292848 2013-04-26] (Intel Corporation)
HKLM\...\Run: [RTHDVCPL] => c:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe [6336216 2013-08-19] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_DTS] => c:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe [978648 2013-08-07] (Realtek Semiconductor)

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3317138025-3548756383-1990335332-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
DPF: {B479199A-1242-4E3C-AD81-7F0DF801B4AE} hxxp://download.microsoft.com/download/C/9/C/C9C3D86D-84AC-4AF0-8584-842756A66467/MicrosoftDownloadManager.cab

FireFox:
========
FF Plugin: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation)
FF Plugin: @intel-webapi.intel.com/Intel WebAPI updater -> c:\Program Files\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 asComSvc; C:\Program Files\ASUS\AXSP\1.01.02\atkexComSvc.exe [936728 2013-05-07] ()
R2 DialogFilter; C:\Windows\System32\DialogFilterSvc.dll [27496 2010-04-02] (Microsoft Corporation)
R2 DTSAudioSvc; c:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv32.exe [193480 2012-10-02] (DTS, Inc)
R2 ftpsvc; C:\Windows\system32\inetsrv\ftpsvc.dll [310272 2012-06-01] (Microsoft Corporation)
R2 IISADMIN; C:\Windows\system32\inetsrv\inetinfo.exe [13824 2009-07-14] (Microsoft Corporation)
R2 Intel(R) Capability Licensing Service Interface; C:\Program Files\Intel\iCLS Client\HeciServer.exe [586240 2013-05-11] (Intel(R) Corporation) [File not signed]
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [637912 2013-05-11] (Intel(R) Corporation)
R2 Intel(R) PROSet Monitoring Service; C:\Windows\system32\IProsetMonitor.exe [132768 2011-11-09] (Intel Corporation)
U2 iprip; C:\Windows\System32\iprip.dll [29696 2009-07-14] (Microsoft Corporation)
S2 jhi_service; c:\Program Files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-09-03] (Intel Corporation)
R2 KeyboardFilter; C:\Windows\System32\KeyboardFilterSvc.dll [37736 2011-09-16] (Microsoft Corporation)
R2 MBAMScheduler; c:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe [1871160 2014-11-21] (Malwarebytes Corporation)
R2 MBAMService; c:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe [969016 2014-11-21] (Malwarebytes Corporation)
R2 MSMQ; C:\Windows\system32\mqsvc.exe [8704 2009-07-14] (Microsoft Corporation)
R2 MSMQTriggers; C:\Windows\system32\mqtgsvc.exe [126464 2010-11-20] (Microsoft Corporation)
R2 NfsClnt; C:\Windows\system32\nfsclnt.exe [52736 2010-11-20] (Microsoft Corporation)
R2 phions; C:\Program Files\netfenceVPN\phions.exe [4498776 2010-03-10] (phion AG)
S4 POSPerformanceCounters; C:\Program Files\Microsoft Point Of Service\Microsoft.PointOfService.Service.exe [42056 2008-02-29] (Microsoft Corporation)
R2 WinDefend; c:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)
S2 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X]

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R1 AsIO; C:\Windows\System32\drivers\AsIO.sys [14720 2012-08-22] ()
S3 asmthub3; C:\Windows\System32\DRIVERS\asmthub3.sys [102888 2011-11-03] (ASMedia Technology Inc)
S3 asmtxhci; C:\Windows\System32\DRIVERS\asmtxhci.sys [313832 2011-11-03] (ASMedia Technology Inc)
S3 e1kexpress; C:\Windows\System32\DRIVERS\e1k6032.sys [164864 2009-07-14] (Intel Corporation)
S3 e1qexpress; C:\Windows\System32\DRIVERS\e1q6232.sys [279208 2011-10-13] (Intel Corporation)
R0 iaStorA; C:\Windows\System32\DRIVERS\iaStorA.sys [505192 2013-08-07] (Intel Corporation)
R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [25448 2013-08-07] (Intel Corporation)
R0 iusb3hcs; C:\Windows\System32\DRIVERS\iusb3hcs.sys [16880 2013-04-26] (Intel Corporation)
R3 iusb3hub; C:\Windows\System32\DRIVERS\iusb3hub.sys [361968 2013-04-26] (Intel Corporation)
R3 iusb3xhc; C:\Windows\System32\DRIVERS\iusb3xhc.sys [793072 2013-04-26] (Intel Corporation)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2014-11-21] (Malwarebytes Corporation)
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [114904 2015-02-03] (Malwarebytes Corporation)
R3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2014-11-21] (Malwarebytes Corporation)
R3 MEI; C:\Windows\System32\DRIVERS\TeeDriver.sys [85464 2013-09-03] (Intel Corporation)
R3 mf; C:\Windows\System32\DRIVERS\mf.sys [114176 2009-07-14] (Microsoft Corporation)
R3 MQAC; C:\Windows\System32\drivers\mqac.sys [141824 2010-11-20] (Microsoft Corporation)
S3 NmPar; C:\Windows\System32\DRIVERS\NmPar.sys [80896 2012-09-17] ()
R3 nmserial; C:\Windows\System32\DRIVERS\nmserial.sys [70656 2012-09-17] (Windows (R) Win 7 DDK provider)
S3 phionvpn; C:\Windows\System32\DRIVERS\phionvpn.sys [31728 2009-11-23] (Phion AG)
R3 Ramdisk; C:\Windows\System32\DRIVERS\ramdisk.sys [22016 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\Users\****\AppData\Local\Temp\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)

NETSVC: DialogFilter -> C:\Windows\System32\DialogFilterSvc.dll (Microsoft Corporation)
NETSVC: KeyboardFilter -> C:\Windows\System32\KeyboardFilterSvc.dll (Microsoft Corporation)

==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-02-03 19:37 - 2015-02-03 19:36 - 00709564 _____ () C:\Users\****\Desktop\delfix_10.8.exe
2015-02-03 19:34 - 2015-02-03 19:34 - 00000144 _____ () C:\Windows\DtcInstall.log
2015-02-02 22:48 - 2015-02-02 22:48 - 00018573 _____ () C:\Users\****\Desktop\Addition.txt
2015-02-02 22:47 - 2015-02-03 19:37 - 00010449 _____ () C:\Users\****\Desktop\FRST.txt
2015-02-02 22:47 - 2015-02-02 22:47 - 00000000 ____D () C:\Users\****\Desktop\FRST-OlderVersion
2015-02-02 19:47 - 2015-01-30 19:55 - 00852573 _____ () C:\Users\****\Desktop\SecurityCheck.exe
2015-02-02 19:47 - 2015-01-30 19:53 - 02347384 _____ (ESET) C:\Users\****\Desktop\esetsmartinstaller_deu.exe
2015-01-30 19:11 - 2015-02-02 22:47 - 01122304 _____ (Farbar) C:\Users\****\Desktop\FRST.exe
2015-01-30 19:06 - 2015-01-30 19:06 - 00000000 ____D () C:\Windows\ERUNT
2015-01-30 19:05 - 2015-01-30 18:20 - 01707939 _____ (Thisisu) C:\Users\****\Desktop\JRT.exe
2015-01-30 18:58 - 2015-01-30 19:02 - 00000000 ____D () C:\AdwCleaner
2015-01-30 18:58 - 2015-01-30 18:23 - 02194432 _____ () C:\Users\****\Desktop\AdwCleaner_4.109.exe
2015-01-30 00:01 - 2015-01-30 00:01 - 00014651 _____ () C:\ComboFix.txt
2015-01-30 00:00 - 2015-02-03 19:12 - 00001640 _____ () C:\Windows\PFRO.log
2015-01-29 23:54 - 2015-01-30 00:01 - 00000000 ____D () C:\Qoobox
2015-01-29 23:54 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-01-29 23:54 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-01-29 23:54 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
2015-01-29 23:54 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
2015-01-29 23:51 - 2015-01-30 00:00 - 00000000 ____D () C:\Windows\erdnt
2015-01-29 23:48 - 2015-01-29 23:44 - 05611408 ____R (Swearware) C:\Users\****\Desktop\ComboFix.exe
2015-01-29 23:38 - 2015-02-03 19:34 - 00071070 _____ () C:\Windows\WindowsUpdate.log
2015-01-29 23:36 - 2015-02-03 19:34 - 00001410 _____ () C:\Windows\setupact.log
2015-01-29 23:36 - 2015-01-29 23:36 - 00000000 _____ () C:\Windows\setuperr.log
2015-01-29 23:29 - 2015-01-29 23:29 - 00000000 ____D () C:\Windows\pss
2015-01-28 22:26 - 2015-02-03 19:14 - 00114904 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-28 22:26 - 2015-01-29 23:19 - 00000000 ____D () c:\Program Files\ Malwarebytes Anti-Malware 
2015-01-28 22:26 - 2015-01-28 22:26 - 00001064 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2015-01-28 22:26 - 2015-01-28 22:26 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2015-01-28 22:26 - 2015-01-28 22:26 - 00000000 ____D () C:\ProgramData\Malwarebytes
2015-01-28 22:26 - 2014-11-21 06:14 - 00075480 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-01-28 22:26 - 2014-11-21 06:14 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-01-28 22:26 - 2014-11-21 06:14 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-01-28 22:25 - 2015-01-28 22:23 - 20447072 _____ (Malwarebytes Corporation ) C:\Users\****\Downloads\mbam-setup-2.0.4.1028.exe
2015-01-28 20:50 - 2015-02-03 19:37 - 00000000 ____D () C:\FRST
2015-01-28 20:38 - 2015-01-28 20:38 - 00000969 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2015-01-28 20:38 - 2015-01-28 20:38 - 00000000 ____D () c:\Program Files\CCleaner
2015-01-28 20:38 - 2013-03-23 10:47 - 04190272 _____ (Piriform Ltd) C:\Users\****\Downloads\ccsetup328.exe
2015-01-18 09:40 - 2014-12-19 03:43 - 00164864 _____ (Microsoft Corporation) C:\Windows\system32\profsvc.dll
2015-01-18 09:40 - 2014-12-19 02:34 - 00116224 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2015-01-18 09:40 - 2014-12-12 06:11 - 03971512 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2015-01-18 09:40 - 2014-12-12 06:11 - 03916728 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-01-18 09:40 - 2014-12-11 18:47 - 00046592 _____ (Microsoft Corporation) C:\Windows\system32\TSWbPrxy.exe
2015-01-18 09:40 - 2014-12-06 04:50 - 00242688 _____ (Microsoft Corporation) C:\Windows\system32\nlasvc.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00156672 _____ (Microsoft Corporation) C:\Windows\system32\ncsi.dll
2015-01-18 09:40 - 2012-10-03 17:42 - 00052224 _____ (Microsoft Corporation) C:\Windows\system32\nlaapi.dll

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-02-03 19:36 - 2013-12-28 22:04 - 00000000 ____D () C:\Users\****\AppData\Local\Apps\2.0
2015-02-03 19:36 - 2010-04-02 07:08 - 00000000 ____D () C:\Windows\system32\inetsrv
2015-02-03 19:34 - 2013-12-28 17:06 - 00000000 ____D () C:\ProgramData\NVIDIA
2015-02-03 19:34 - 2011-09-16 04:08 - 00000000 ____D () C:\Windows\registration
2015-02-03 19:34 - 2011-09-16 03:16 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-02-03 19:30 - 2010-12-10 19:13 - 01715020 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-02-03 19:21 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-02-03 19:21 - 2010-12-10 19:06 - 00018352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-02-03 19:17 - 2011-09-16 04:08 - 00000000 ____D () C:\Windows\system32\NDF
2015-01-30 00:01 - 2010-04-02 07:08 - 00000000 __RHD () C:\Users\Default
2015-01-30 00:01 - 2010-04-02 07:08 - 00000000 ___RD () C:\Users\Public
2015-01-30 00:00 - 2010-04-02 06:55 - 00000215 _____ () C:\Windows\system.ini
2015-01-30 00:00 - 2010-04-02 06:54 - 44826624 _____ () C:\Windows\system32\config\SYSTEM.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 39845888 _____ () C:\Windows\system32\config\SOFTWARE.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\SECURITY.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\SAM.bak
2015-01-30 00:00 - 2010-04-02 06:54 - 00262144 _____ () C:\Windows\system32\config\DEFAULT.bak
2015-01-28 20:39 - 2013-12-29 08:42 - 00000000 ____D () C:\Windows\Panther
2015-01-27 20:37 - 2011-09-16 03:16 - 00032608 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2015-01-24 12:04 - 2014-07-31 08:44 - 00000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2015-01-08 09:55 - 2013-12-28 17:30 - 00249488 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe

==================== Files in the root of some directories =======

2014-07-31 08:44 - 2015-01-24 12:04 - 0000600 _____ () C:\Users\****\AppData\Local\PUTTY.RND
2014-07-29 20:12 - 2014-07-29 20:12 - 0000017 _____ () C:\Users\****\AppData\Local\resmon.resmoncfg
2008-02-05 13:28 - 2008-02-05 13:28 - 0000051 _____ () C:\Users\****\AppData\Local\setup.txt
2014-02-26 16:35 - 2014-02-26 16:35 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-28 22:55

==================== End Of Log ============================

--- --- ---

29.01.2015, 11:53	#4
schrauber /// the machine /// TB-Ausbilder	BKA Trojaner unter Windows 7 ohne CD-Rom-Laufwerk Wenn der Rechner doch nit gesperrt ist und du FRST aus dem normalen Modus laufen lassen kannst, dann bitte noch die Addition.txt posten __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

03.02.2015, 11:50	#12
schrauber /// the machine /// TB-Ausbilder	BKA Trojaner unter Windows 7 ohne CD-Rom-Laufwerk Ich empfehle immer Emsisoft. hast Du die ganzen Policies mit Absicht gesetzt? __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

BKA Trojaner unter Windows 7 ohne CD-Rom-Laufwerk

Plagegeister aller Art und deren Bekämpfung: BKA Trojaner unter Windows 7 ohne CD-Rom-Laufwerk