|
Log-Analyse und Auswertung: W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSIWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.05.2015, 14:05 | #16 |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI 1) brauchst Du nit, einfach im normalen Modus laufen lassen 2) Check Disk ist der Name des Programmes, welches dann gestartet wird durch einen Klick 3) Backup bedeutet Backup der Registry, nicht Wiederherstellung. 4) Ja, Daten sichern geht 5) Ja sind sie.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
06.05.2015, 01:29 | #17 |
| W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Hallo schrauber,
__________________wollte mich mal zurückmelden. Ich habe inzwischen wenigstens meine Daten gesichert und den Eset-Onlinescanner nochmal laufen lassen und die Funde dort gelöscht. Ich hoffe, dass ich das Windows-Reparieren morgen oder übermorgen schaffe. Gruß Undine |
06.05.2015, 09:03 | #18 |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI ok
__________________
__________________ |
08.05.2015, 15:24 | #19 |
| W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Geschafft! Habe die Windows-Reparatur durchgeführt. Scheint auch geklappt zu haben, obwohl das Programm unter 3. schrieb: "Der Windows-Ressoursenschutz hat beschädigte Dateien gefunden und konnte einige Dateien nicht reparieren." Jedenfalls funktioniert die Systemwiederherstellung nun wieder und auch das Updaten scheint zu gehen (1 Update gemacht). Dafür ist der Avira-Emailschutz wieder kaputt ... ... hatte eine anstrengende Woche ... mein Kopf ist heute nicht mehr gebrauchsfähig ... Gruß Undine |
09.05.2015, 08:47 | #20 |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Avira neu installieren, dann ein frisches FRST log bitte
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
09.05.2015, 21:59 | #21 |
| W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Hallo Schrauber, Avira ist nun wieder heil (repariert). Hier das neue FRST-Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 26-04-2015 (ATTENTION: ====> FRST version is 13 days old and could be outdated) Ran by Ute (administrator) on UTE-PC on 09-05-2015 22:18:58 Running from C:\Users\Ute\Desktop Loaded Profiles: Ute (Available profiles: Ute) Platform: Microsoft® Windows Vista™ Home Basic Service Pack 1 (X86) OS Language: Deutsch (Deutschland) Internet Explorer Version 7 (Default browser: IE) Boot Mode: Normal Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Processes (Whitelisted) ================= (If an entry is included in the fixlist, the process will be closed. The file will not be moved.) (Microsoft Corporation) C:\Windows\System32\SLsvc.exe (Emsisoft GmbH) C:\Program Files\Emsisoft Anti-Malware\a2service.exe (SAMSUNG Electronics co., LTD.) C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe (Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe (Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe () C:\Program Files\Samsung\Samsung Recovery Solution III\WCScheduler.exe (Giraffic) C:\Program Files\Giraffic\Veoh_GirafficWatchdog.exe (Microsoft Corporation) C:\Program Files\Common Files\microsoft shared\VS7DEBUG\mdm.exe () C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe () C:\Program Files\CyberLink\Shared files\RichVideo.exe (Intel Corporation) C:\Windows\System32\igfxsrvc.exe (Giraffic) C:\Program Files\Giraffic\Veoh_Giraffic.exe (Intel Corporation) C:\Windows\System32\igfxext.exe (Intel Corporation) C:\Windows\System32\igfxsrvc.exe (Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (CyberLink) C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink Corp.) C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (CANON INC.) C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE (CANON INC.) C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE (Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe (Emsisoft GmbH) C:\Program Files\Emsisoft Anti-Malware\a2guard.exe (Sonic Solutions) C:\Program Files\Common Files\Sonic Shared\CineTray.exe (Microsoft Corporation) C:\Windows\System32\mobsync.exe (Microsoft Corporation) C:\Windows\System32\conime.exe (Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe () C:\Program Files\Samsung\Samsung Update Plus\SUPNotifier.exe (Microsoft Corporation) C:\Windows\System32\wuauclt.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avmailc.exe (RealNetworks, Inc.) C:\Program Files\Real\RealPlayer\Update\realsched.exe ==================== Registry (Whitelisted) ================== (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.) HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [7420448 2009-04-21] (Realtek Semiconductor) HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1049896 2008-08-28] (Synaptics, Inc.) HKLM\...\Run: [UpdatePDRShortCut] => C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe [222504 2008-01-04] (CyberLink Corp.) HKLM\...\Run: [UpdateLBPShortCut] => C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.) HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [103720 2008-12-24] (CyberLink) HKLM\...\Run: [UpdateP2GoShortCut] => C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.) HKLM\...\Run: [RemoteControl8] => C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe [91432 2009-04-16] (CyberLink Corp.) HKLM\...\Run: [PDVD8LanguageShortcut] => C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe [50472 2009-04-16] (CyberLink Corp.) HKLM\...\Run: [UpdatePPShortCut] => C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.) HKLM\...\Run: [UpdatePSTShortCut] => C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe [210216 2009-03-12] (CyberLink Corp.) HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [41208 2012-12-19] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [TkBellExe] => C:\Program Files\Real\RealPlayer\update\realsched.exe [295512 2013-07-01] (RealNetworks, Inc.) HKLM\...\Run: [CanonMyPrinter] => C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2565520 2011-03-14] (CANON INC.) HKLM\...\Run: [CanonSolutionMenuEx] => C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE [1612920 2011-08-04] (CANON INC.) HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [726320 2015-03-24] (Avira Operations GmbH & Co. KG) HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKLM\...\Run: [emsisoft anti-malware] => c:\program files\emsisoft anti-malware\a2guard.exe [4886608 2015-03-23] (Emsisoft GmbH) HKU\S-1-5-21-3319244995-2461475978-946539677-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\scrnsave.scr [10240 2006-11-02] (Microsoft Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk [2009-08-25] ShortcutTarget: Microsoft Office.lnk -> C:\Program Files\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sonic CinePlayer Quick Launch.lnk [2009-08-27] ShortcutTarget: Sonic CinePlayer Quick Launch.lnk -> C:\Program Files\Common Files\Sonic Shared\CineTray.exe (Sonic Solutions) ==================== Internet (Whitelisted) ==================== (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\S-1-5-21-3319244995-2461475978-946539677-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3319244995-2461475978-946539677-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_de BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2012-12-18] (Adobe Systems Incorporated) BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll [2013-04-16] (RealDownloader) BHO: Canon Easy-WebPrint EX BHO -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll [2010-11-08] (CANON INC.) BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll [2014-04-14] (Oracle Corporation) BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-07] (Google Inc.) BHO: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-11-07] (Google Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll [2014-04-14] (Oracle Corporation) Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File Toolbar: HKLM - No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File Toolbar: HKU\.DEFAULT -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL [2001-01-22] (Microsoft Corporation) Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll [2001-06-20] (Microsoft Corporation) Handler: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\MSERO.DLL [2002-12-17] (Microsoft Corporation) Winsock: Catalog9 01 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 02 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 03 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 04 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 05 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 06 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 07 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 08 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) Winsock: Catalog9 19 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG) FireFox: ======== FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_270.dll [2012-08-11] () FF Plugin: @canon.com/EPPEX -> C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL [2011-04-20] (CANON INC.) FF Plugin: @java.com/DTPlugin,version=10.55.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [2014-04-14] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.55.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll [2014-04-14] (Oracle Corporation) FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.31211.0\npctrl.dll [2014-12-11] ( Microsoft Corporation) FF Plugin: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.) FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation) FF Plugin: @real.com/nppl3260;version=16.0.2.32 -> C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll [2013-07-01] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll [2013-04-16] (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.2.32 -> C:\Program Files\Real\RealPlayer\Netscape6\nprpplugin.dll [2013-07-01] (RealPlayer) FF Plugin: @realnetworks.com/npdlplugin;version=1 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll [2013-04-16] (RealDownloader) FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll [2013-02-15] (Adobe Systems Inc.) FF Plugin HKU\S-1-5-21-3319244995-2461475978-946539677-1000: @citrixonline.com/appdetectorplugin -> C:\Users\Ute\AppData\Local\Citrix\Plugins\97\npappdetector.dll [2013-04-17] (Citrix Online) FF Plugin HKU\S-1-5-21-3319244995-2461475978-946539677-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Ute\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-06] (Google Inc.) FF Plugin HKU\S-1-5-21-3319244995-2461475978-946539677-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Ute\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-06] (Google Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-12-31] FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext FF Extension: RealDownloader - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-07-01] FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext Chrome: ======= CHR Plugin: (Shockwave Flash) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\21.0.1180.75\PepperFlash\pepflashplayer.dll No File CHR Plugin: (Shockwave Flash) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\42.0.2311.135\gcswf32.dll No File CHR Plugin: (Remoting Viewer) - internal-remoting-viewer CHR Plugin: (Native Client) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\42.0.2311.135\ppGoogleNaClPluginChrome.dll No File CHR Plugin: (Chrome PDF Viewer) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\42.0.2311.135\pdf.dll No File CHR Plugin: (Conduit Chrome Plugin) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\fealnpfjifonchkodiffbdkfaipmpkhe\2.3.15.251_0\plugins/ConduitChromeApiPlugin.dll No File CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.) CHR Plugin: (CANON iMAGE GATEWAY Album Plugin Utility) - C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL (CANON INC.) CHR Plugin: (Microsoft Office Live Plug-in for Firefox) - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) CHR Plugin: (Google Update) - C:\Users\Ute\AppData\Local\Google\Update\1.3.21.115\npGoogleUpdate3.dll No File CHR Plugin: (Windows Presentation Foundation) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) CHR Profile: C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Bookmark Manager) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21] CHR Extension: (Protect My Choices) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdgloanjhdcenjgiafkpbehddcnonlic [2013-11-20] CHR Extension: (RealDownloader) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2013-07-01] CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-13] CHR Extension: (Google Wallet) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-04-26] CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-04-16] StartMenuInternet: Google Chrome.OP2KX3NVXF4LPL4IVCMTX6SAAQ - C:\Users\Ute\AppData\Local\Google\Chrome\Application\chrome.exe ========================== Services (Whitelisted) ================= (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) R2 a2AntiMalware; C:\Program Files\Emsisoft Anti-Malware\a2service.exe [5020520 2015-03-23] (Emsisoft GmbH) R2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [815352 2015-03-24] (Avira Operations GmbH & Co. KG) R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [434424 2015-03-24] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [434424 2015-03-24] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [1004032 2015-03-24] (Avira Operations GmbH & Co. KG) R2 Giraffic; C:\Program Files\Giraffic\Veoh_GirafficWatchdog.exe [2245232 2013-05-13] (Giraffic) S2 MBAMService; C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe [1080120 2015-04-14] (Malwarebytes Corporation) R2 MDM; C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe [270336 2001-02-23] (Microsoft Corporation) [File not signed] R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] () R2 RichVideo; C:\Program Files\CyberLink\Shared files\RichVideo.exe [247152 2008-11-25] () S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [272952 2008-01-21] (Microsoft Corporation) ==================== Drivers (Whitelisted) ==================== (If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.) R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [105864 2015-03-24] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136216 2015-03-24] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2015-03-24] (Avira Operations GmbH & Co. KG) R1 Cinemsup; C:\Windows\system32\Drivers\Cinemsup.sys [6656 2003-12-19] (Sonic Solutions) [File not signed] R1 epp32; C:\Windows\System32\DRIVERS\epp32.sys [111368 2015-03-23] (Emsisoft GmbH) R2 KMDFMEMIO; C:\Windows\System32\DRIVERS\kmdfmemio.sys [13312 2006-11-14] (SAMSUNG ELECTRONICS CO., LTD.) R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2015-04-14] (Malwarebytes Corporation) S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2015-04-14] (Malwarebytes Corporation) R0 PxHelp20; C:\Windows\System32\Drivers\PxHelp20.sys [20640 2005-04-05] (Sonic Solutions) [File not signed] R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-07-29] (Avira GmbH) U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] ==================== NetSvcs (Whitelisted) =================== (If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.) ==================== One Month Created Files and Folders ======== (If an entry is included in the fixlist, the file\folder will be moved.) 2015-05-09 22:18 - 2015-05-09 22:19 - 00020852 _____ () C:\Users\Ute\Desktop\FRST.txt 2015-05-09 14:00 - 2015-05-09 14:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira 2015-05-08 16:31 - 2015-05-08 16:32 - 00000000 ____D () C:\c86e4f28fd0e31354b 2015-05-06 18:36 - 2015-05-06 18:36 - 00000000 ____D () C:\Users\Ute\Desktop\tweaking.com_windows_repair_aio 2015-05-06 18:30 - 2015-05-06 18:30 - 10661519 _____ () C:\Users\Ute\Desktop\tweaking.com_windows_repair_aio.zip 2015-05-05 11:26 - 2015-05-05 11:26 - 00001889 _____ () C:\Users\Public\Desktop\Avira Antivirus.lnk 2015-04-30 15:44 - 2015-04-30 15:44 - 00852616 _____ () C:\Users\Ute\Desktop\SecurityCheck.exe 2015-04-30 00:39 - 2015-04-30 00:39 - 02347384 _____ (ESET) C:\Users\Ute\Desktop\esetsmartinstaller_deu.exe 2015-04-29 23:26 - 2015-04-30 00:00 - 186726144 _____ () C:\Users\Ute\Downloads\avira_antivirus_de-de.exe 2015-04-26 19:11 - 2015-04-26 19:12 - 00056554 _____ () C:\Users\Ute\Desktop\Addition.txt 2015-04-26 19:07 - 2015-04-26 19:07 - 01140736 _____ (Farbar) C:\Users\Ute\Desktop\FRST.exe 2015-04-26 18:22 - 2015-04-26 18:22 - 00002577 _____ () C:\Users\Ute\Desktop\JRT.txt 2015-04-26 18:09 - 2015-04-26 18:09 - 00000207 _____ () C:\Windows\tweaking.com-regbackup-UTE-PC-Windows-Vista-(TM)-Home-Basic-(32-bit).dat 2015-04-26 18:09 - 2015-04-26 18:09 - 00000000 ____D () C:\RegBackup 2015-04-26 18:07 - 2015-04-26 18:07 - 02715764 _____ (Thisisu) C:\Users\Ute\Desktop\JRT.exe 2015-04-26 16:14 - 2015-04-26 16:30 - 00000000 ____D () C:\AdwCleaner 2015-04-26 16:09 - 2015-04-26 16:09 - 02224640 _____ () C:\Users\Ute\Desktop\AdwCleaner_4.202.exe 2015-04-26 11:10 - 2015-04-26 11:10 - 00000000 ____D () C:\Program Files\ESET 2015-04-26 11:09 - 2015-04-26 11:09 - 02347384 _____ (ESET) C:\Users\Ute\Downloads\esetsmartinstaller_deu (1).exe 2015-04-25 22:59 - 2015-04-25 23:00 - 02347384 _____ (ESET) C:\Users\Ute\Downloads\esetsmartinstaller_deu.exe 2015-04-25 01:19 - 2015-04-25 01:19 - 00051903 _____ () C:\ComboFix.txt 2015-04-25 00:38 - 2015-04-25 01:19 - 00000000 ____D () C:\Qoobox 2015-04-25 00:38 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe 2015-04-25 00:38 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe 2015-04-25 00:38 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2015-04-25 00:38 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2015-04-25 00:38 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2015-04-25 00:38 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe 2015-04-25 00:38 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe 2015-04-25 00:38 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe 2015-04-25 00:34 - 2015-04-25 00:34 - 05619466 ____R (Swearware) C:\Users\Ute\Desktop\ComboFix.exe 2015-04-24 20:16 - 2015-04-24 20:16 - 00141232 _____ () C:\Windows\Minidump\Mini042415-01.dmp 2015-04-24 20:15 - 2015-04-24 20:16 - 276515366 _____ () C:\Windows\MEMORY.DMP 2015-04-24 19:27 - 2015-04-25 01:13 - 00000000 ____D () C:\Windows\erdnt 2015-04-24 15:05 - 2015-04-24 15:05 - 00001057 _____ () C:\Users\Ute\Desktop\Revo Uninstaller.lnk 2015-04-24 15:04 - 2015-04-24 15:04 - 00000000 ____D () C:\Program Files\VS Revo Group 2015-04-24 14:59 - 2015-04-24 15:00 - 02623656 _____ (VS Revo Group Ltd.) C:\Users\Ute\Downloads\revosetup95.exe 2015-04-23 17:56 - 2015-04-23 17:56 - 00019413 _____ () C:\Users\Ute\Downloads\Gmer.txt 2015-04-23 17:11 - 2015-04-23 17:11 - 00380416 _____ () C:\Users\Ute\Downloads\d3tj1l52.exe 2015-04-23 16:42 - 2015-04-23 16:44 - 00085666 _____ () C:\Users\Ute\Downloads\Addition.txt 2015-04-23 16:41 - 2015-04-23 16:44 - 00044205 _____ () C:\Users\Ute\Downloads\FRST.txt 2015-04-23 16:40 - 2015-05-09 22:19 - 00000000 ____D () C:\FRST 2015-04-23 16:38 - 2015-04-23 16:39 - 01139200 _____ (Farbar) C:\Users\Ute\Downloads\FRST.exe 2015-04-23 16:27 - 2015-04-23 16:27 - 00000468 _____ () C:\Users\Ute\Downloads\defogger_disable.log 2015-04-23 16:27 - 2015-04-23 16:27 - 00000000 _____ () C:\Users\Ute\defogger_reenable 2015-04-23 16:24 - 2015-04-23 16:24 - 00050477 _____ () C:\Users\Ute\Downloads\Defogger.exe 2015-04-23 15:17 - 2015-04-23 15:17 - 00000194 _____ () C:\Users\Ute\Downloads\hosts-perm (1).bat 2015-04-23 12:12 - 2015-04-23 12:12 - 00000194 _____ () C:\Users\Ute\Downloads\hosts-perm.bat 2015-04-22 17:34 - 2015-04-22 17:34 - 00000000 ____D () C:\ProgramData\Emsisoft 2015-04-22 15:44 - 2015-04-22 15:44 - 00000888 _____ () C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk 2015-04-22 15:44 - 2015-04-22 15:44 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware 2015-04-22 15:43 - 2015-05-09 21:32 - 00000000 ____D () C:\Program Files\Emsisoft Anti-Malware 2015-04-22 15:43 - 2015-03-23 23:17 - 00111368 _____ (Emsisoft GmbH) C:\Windows\system32\Drivers\epp32.sys 2015-04-22 00:02 - 2015-04-25 21:46 - 00000000 ____D () C:\Users\Ute\AppData\Local\CrashDumps 2015-04-21 22:44 - 2015-04-21 22:44 - 00000000 ____D () C:\Users\Ute\Documents\RogueKiller_bundle_10.6[1] 2015-04-21 15:48 - 2015-04-23 15:25 - 00035064 _____ () C:\Windows\system32\Drivers\TrueSight.sys 2015-04-21 15:48 - 2015-04-21 20:15 - 00000000 ____D () C:\ProgramData\RogueKiller 2015-04-21 13:54 - 2015-04-21 13:55 - 04197016 _____ (Kaspersky Lab ZAO) C:\Users\Ute\Downloads\tdsskiller.exe 2015-04-21 12:24 - 2015-04-21 12:24 - 00000000 ____D () C:\TDSSKiller_Quarantine 2015-04-19 14:34 - 2015-05-08 16:37 - 00119512 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys 2015-04-19 14:33 - 2015-04-19 14:33 - 00000899 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2015-04-19 14:33 - 2015-04-19 14:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 2015-04-19 14:33 - 2015-04-19 14:33 - 00000000 ____D () C:\ProgramData\Malwarebytes 2015-04-19 14:33 - 2015-04-19 14:33 - 00000000 ____D () C:\Program Files\ Malwarebytes Anti-Malware 2015-04-19 14:33 - 2015-04-14 09:37 - 00092888 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys 2015-04-19 14:33 - 2015-04-14 09:37 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys 2015-04-19 14:33 - 2015-04-14 09:37 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys 2015-04-19 14:12 - 2015-04-19 14:17 - 21546080 _____ (Malwarebytes Corporation ) C:\Users\Ute\Downloads\mbam-setup-majorgeeks-2.1.6.1022.exe 2015-04-10 18:51 - 2015-04-27 22:20 - 00000000 ____D () C:\Users\Ute\meine Lernkartei 2015-04-10 18:36 - 2015-04-27 22:16 - 00000298 _____ () C:\Users\Ute\konfig.new 2015-04-10 18:30 - 2015-04-10 21:22 - 00000000 ____D () C:\Users\Ute\Tutorial 2015-04-10 18:30 - 2015-04-10 18:30 - 00000552 _____ () C:\Users\Ute\AppData\Roaming\Microsoft\Windows\Start Menu\Lernkartei.lnk 2015-04-10 18:30 - 2015-04-10 18:30 - 00000542 _____ () C:\Users\Public\Desktop\Lernkartei.lnk ==================== One Month Modified Files and Folders ======= (If an entry is included in the fixlist, the file\folder will be moved.) 2015-05-09 22:17 - 2013-07-29 22:15 - 00000000 ____D () C:\Program Files\Giraffic 2015-05-09 22:14 - 2009-08-26 19:59 - 00000000 ____D () C:\Users\Ute\Documents\Eigene Dokumente 2015-05-09 21:31 - 2012-08-11 20:55 - 00001112 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3319244995-2461475978-946539677-1000UA.job 2015-05-09 20:45 - 2006-11-02 14:45 - 00004784 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 2015-05-09 20:45 - 2006-11-02 14:45 - 00004784 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 2015-05-09 18:11 - 2009-08-24 16:42 - 00000414 ____H () C:\Windows\Tasks\User_Feed_Synchronization-{0A1A3F3F-E741-4716-89DA-54FD6F86772A}.job 2015-05-09 15:05 - 2009-06-16 03:06 - 01190834 _____ () C:\Windows\WindowsUpdate.log 2015-05-09 13:43 - 2013-07-29 22:15 - 00000000 ____D () C:\ProgramData\Giraffic 2015-05-07 19:05 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\rescache 2015-05-07 18:51 - 2006-11-02 12:33 - 01354300 _____ () C:\Windows\system32\PerfStringBackup.INI 2015-05-07 18:47 - 2009-08-24 15:51 - 00000000 ____D () C:\Users\Ute\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite 2015-05-07 18:45 - 2006-11-02 14:58 - 00000006 ____H () C:\Windows\Tasks\SA.DAT 2015-05-07 15:44 - 2006-11-02 14:58 - 00032534 _____ () C:\Windows\Tasks\SCHEDLGU.TXT 2015-05-07 12:00 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\system32\it-IT 2015-05-07 12:00 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\system32\fr-FR 2015-05-07 12:00 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\system32\de-DE 2015-05-06 22:02 - 2009-08-24 15:58 - 00125424 _____ () C:\Users\Ute\AppData\Local\GDIPFONTCACHEV1.DAT 2015-05-06 21:56 - 2008-01-21 05:02 - 01556286 _____ () C:\Windows\PFRO.log 2015-05-06 21:56 - 2006-11-02 14:44 - 00439792 _____ () C:\Windows\system32\FNTCACHE.DAT 2015-05-02 18:31 - 2006-11-02 14:49 - 00158326 _____ () C:\Windows\setupact.log 2015-04-29 17:25 - 2012-08-09 21:11 - 00778416 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe 2015-04-29 17:25 - 2012-03-14 01:32 - 00142512 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl 2015-04-27 22:25 - 2015-03-25 20:08 - 00000000 ____D () C:\Users\Ute\AppData\Roaming\MuseScore 2015-04-27 22:16 - 2011-05-15 10:49 - 00000298 _____ () C:\Users\Ute\konfig.dat 2015-04-25 01:19 - 2006-11-02 13:18 - 00000000 __RHD () C:\Users\Default 2015-04-25 01:19 - 2006-11-02 13:18 - 00000000 ___RD () C:\Users\Public 2015-04-25 01:08 - 2006-11-02 12:23 - 00000215 _____ () C:\Windows\system.ini 2015-04-25 01:03 - 2006-11-02 12:22 - 41680896 _____ () C:\Windows\system32\config\COMPON~3.bak 2015-04-25 01:03 - 2006-11-02 12:22 - 36175872 _____ () C:\Windows\system32\config\software.bak 2015-04-25 01:03 - 2006-11-02 12:22 - 19398656 _____ () C:\Windows\system32\config\system.bak 2015-04-25 01:03 - 2006-11-02 12:22 - 00524288 _____ () C:\Windows\system32\config\default.bak 2015-04-25 01:03 - 2006-11-02 12:22 - 00262144 _____ () C:\Windows\system32\config\security.bak 2015-04-25 01:03 - 2006-11-02 12:22 - 00262144 _____ () C:\Windows\system32\config\sam.bak 2015-04-25 01:02 - 2006-11-02 12:23 - 00000027 _____ () C:\Windows\system32\Drivers\etc\hosts_bak_212 2015-04-24 20:16 - 2009-09-13 01:24 - 00000000 ____D () C:\Windows\Minidump 2015-04-24 16:08 - 2011-01-21 16:02 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cultures Saga 2015-04-23 16:27 - 2009-08-24 15:51 - 00000000 ____D () C:\Users\Ute 2015-04-22 13:06 - 2011-02-11 08:45 - 00000000 ____D () C:\Users\Ute\Documents\zu Spielen u. Sonstiges 2015-04-20 18:43 - 2009-06-15 11:09 - 00000000 ___HD () C:\Program Files\InstallShield Installation Information 2015-04-20 18:40 - 2014-06-27 20:25 - 00000000 ____D () C:\Program Files\Drakensang - Am Fluss der Zeit 2015-04-20 18:36 - 2009-08-27 22:06 - 00000000 ____D () C:\XP-Spiele 2015-04-20 18:33 - 2011-01-17 18:31 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Purplehills 2015-04-20 18:33 - 2011-01-17 18:31 - 00000000 ____D () C:\Program Files\Purplehills 2015-04-19 21:22 - 2014-04-02 15:41 - 00000000 ____D () C:\Users\Ute\AppData\Local\TB 2015-04-19 16:05 - 2012-05-23 23:59 - 00000000 ____D () C:\ProgramData\YTD YouTube Downloader & Converter 2015-04-15 17:06 - 2013-07-18 03:09 - 00000000 ____D () C:\Windows\system32\MRT 2015-04-15 16:54 - 2006-11-02 12:24 - 125832184 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe 2015-04-11 15:49 - 2009-08-26 20:00 - 00000000 ____D () C:\Users\Ute\Documents\Eigene Gedichte ==================== Files in the root of some directories ======= 2009-11-07 00:27 - 2007-03-14 12:49 - 0010752 _____ (Arcor Online GmbH) C:\Users\Ute\AppData\Local\cmdial32.dll 2014-03-02 13:49 - 2014-03-02 13:49 - 0000552 _____ () C:\Users\Ute\AppData\Local\d3d8caps.dat 2009-08-24 19:11 - 2013-09-07 22:38 - 0009216 _____ () C:\Users\Ute\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2009-06-15 11:24 - 2009-06-15 11:24 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log 2009-06-15 11:21 - 2009-06-15 11:22 - 0000106 _____ () C:\ProgramData\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}.log 2009-06-15 11:16 - 2009-06-15 11:18 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log 2009-06-15 11:22 - 2009-06-15 11:24 - 0000110 _____ () C:\ProgramData\{B7A0CE06-068E-11D6-97FD-0050BACBF861}.log 2009-06-15 11:18 - 2009-06-15 11:21 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log Files to move or delete: ==================== C:\Users\Ute\AxInterop.WMPLib.dll C:\Users\Ute\Interop.WMPLib.dll C:\Users\Ute\konfig.dat C:\Users\Ute\Lernkartei.exe Some content of TEMP: ==================== C:\Users\Ute\AppData\Local\temp\avgnt.exe C:\Users\Ute\AppData\Local\temp\Quarantine.exe C:\Users\Ute\AppData\Local\temp\sqlite3.dll ==================== Bamital & volsnap Check ================= (There is no automatic fix for files that do not pass verification.) C:\Windows\explorer.exe => File is digitally signed C:\Windows\system32\winlogon.exe => File is digitally signed C:\Windows\system32\wininit.exe => File is digitally signed C:\Windows\system32\svchost.exe => File is digitally signed C:\Windows\system32\services.exe => File is digitally signed C:\Windows\system32\User32.dll => File is digitally signed C:\Windows\system32\userinit.exe => File is digitally signed C:\Windows\system32\rpcss.dll => File is digitally signed C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed LastRegBack: 2015-05-09 19:04 ==================== End Of Log ============================ Gruß Undine |
10.05.2015, 06:53 | #22 |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION Emptytemp: Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Noch PRobleme mit dem Rechner?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
11.05.2015, 00:29 | #23 |
| W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Hallo schrauber, hier der Fixlog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 09-05-2015 Ran by Ute at 2015-05-11 01:00:20 Run:1 Running from C:\Users\Ute\Desktop Loaded Profiles: Ute (Available profiles: Ute) Boot Mode: Normal ============================================== Content of fixlist: ***************** HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION Emptytemp: ***************** "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully. "HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully. "HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully. EmptyTemp: => Removed 23.2 GB temporary data. The system needed a reboot. ==== End of Fixlog 01:01:53 ==== Gruß Undine |
11.05.2015, 10:24 | #24 |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: Combofix deinstallieren .
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen. Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. Meine Empfehlung: Emsisoft Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen. Optional: NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie . Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwarecleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
11.05.2015, 18:19 | #25 |
| W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Ui, dann mache ich mich mal an's aufräumen! Schon mal gaaaanz herzlichen Dank für Ihre Hilfe und Geduld ! Manchmal hatte ich echt Muffensausen , aber es hat letztlich immer alles funktioniert! Sollte es noch Probleme geben oder sollten noch Fragen auftauchen, melde ich mich nochmal. Aber ich werde zum Aufräumen wohl etwas Zeit brauchen ... Ganz herzliche Grüße eine sehr erleichterte Undine -------------- Bin's doch nochmal. Nach den ersten beiden Schritten (Defogger re-enable und Combofix deinstallieren) funktionierte das Avira Icon auf dem Desktop nicht mehr (das kleine in der Schnellstartleiste schon) und ließ sich erstmal auch nicht reparieren. Habe dann nochmal mit Malwarebytes gescannt (kein Fund) und mit Emsisoft (2 Funde). Hier der Logfile des Emsi-Scans: Code:
ATTFilter Emsisoft Anti-Malware - Version 10.0 Letztes Update: 11.05.2015 17:16:04 Benutzerkonto: Ute-PC\Ute Scan-Einstellungen: Scan Methode: Malware Scan Objekte: Rootkits, Speicher, Traces, Dateien PUPs-Erkennung: An Archiv-Scan: Aus ADS Scan: An Dateitypen-Filter: Aus Erweitertes Caching: An Direkter Festplattenzugriff: Aus Scan-Beginn: 11.05.2015 18:59:07 Value: HKEY_USERS\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS gefunden: Setting.DisableRegistryTools (A) Value: HKEY_USERS\S-1-5-21-3319244995-2461475978-946539677-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS gefunden: Setting.DisableRegistryTools (A) Gescannt 69222 Gefunden 2 Scan-Ende: 11.05.2015 19:03:47 Scan-Zeit: 0:04:40 Wie soll ich jetzt weiter vorgehen? (Erstmal lade ich das Avira-Programm neu aus dem Internet runter und versuche nochmal zu reparieren ...) Gruß Undine |
12.05.2015, 07:10 | #26 |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Avira neu installieren, die beiden Funde einfach Löschen
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
16.05.2015, 12:16 | #27 |
| W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Hallo Schrauber, ich muss mich doch nochmal melden mit Fragen und Problemen. Frage: Wie bekomme ich GMER gelöscht? Problem: Nach "Delfix" habe ich ein Problem mit der "Zuletzt verwendet" Verknüpfung. Von dort erreiche ich Word-Dokumente, die ich ständig benutze. Nun wird das aber zugemüllt seit Delfix, weil unter "Zuletzt verwendet" bei jedem Öffnen oder teilweise sogar nur Verändern des Dokumentes weitere Links dergestalt hinzufügt werden: "Für Trojaner-Board (2), Für Trojaner-Board (3), Für Trojaner-Board (4), Für Trojaner-Board (5) ..." Bin ständig dabei diese überzähligen Verknüpfungen zu löschen. Das nervt! (Die ursprüngliche Verknüpfung funktioniert problemlos weiter.) Delfix wurde vom Emsi-Soft-Scanner als “gefährlich” eingestuft und in die Quaranäne verschoben. Ich musste das Programm erstmal von dort wiederherstellen und Emsisoft deaktivieren, damit es funktionierte. Hier das Logfile von Delfix: Code:
ATTFilter Logfile: # DelFix v10.9 - Datei am 14/05/2015 um 21:48:43 erstellt # Aktualisiert am 27/02/2015 von Xplode # Benutzer : Ute - UTE-PC # Betriebssystem : Windows Vista (TM) Home Basic Service Pack 1 (32 bits) ~ Aktiviere die Benutzerkontensteuerung ... OK ~ Entferne die Bereinigungsprogramme ... Gelöscht : C:\32788R22FWJFW Gelöscht : C:\FRST Gelöscht : C:\TDSSKiller_Quarantine Gelöscht : C:\AdwCleaner Gelöscht : C:\Users\Ute\Desktop\FRST-OlderVersion Gelöscht : C:\ComboFix.txt Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_12.08.25_log.txt Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_12.29.02_log.txt Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_13.58.42_log.txt Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_14.02.32_log.txt Gelöscht : C:\TDSSKiller.3.0.0.44_22.04.2015_00.18.11_log.txt Gelöscht : C:\TDSSKiller.3.0.0.44_23.04.2015_11.44.43_log.txt Gelöscht : C:\Users\Ute\Desktop\Addition.txt Gelöscht : C:\Users\Ute\Desktop\AdwCleaner_4.202.exe Gelöscht : C:\Users\Ute\Desktop\esetsmartinstaller_deu.exe Gelöscht : C:\Users\Ute\Desktop\Fixlog.txt Gelöscht : C:\Users\Ute\Desktop\FRST.exe Gelöscht : C:\Users\Ute\Desktop\FRST.txt Gelöscht : C:\Users\Ute\Desktop\JRT.exe Gelöscht : C:\Users\Ute\Desktop\JRT.txt Gelöscht : C:\Users\Ute\Desktop\SecurityCheck.exe Gelöscht : C:\Users\Ute\Downloads\Addition.txt Gelöscht : C:\Users\Ute\Downloads\Defogger.exe Gelöscht : C:\Users\Ute\Downloads\defogger_disable.log Gelöscht : C:\Users\Ute\Downloads\defogger_enable.log Gelöscht : C:\Users\Ute\Downloads\esetsmartinstaller_deu (1).exe Gelöscht : C:\Users\Ute\Downloads\esetsmartinstaller_deu.exe Gelöscht : C:\Users\Ute\Downloads\FRST.exe Gelöscht : C:\Users\Ute\Downloads\FRST.txt Gelöscht : C:\Users\Ute\Downloads\tdsskiller.exe Gelöscht : HKLM\SOFTWARE\AdwCleaner Gelöscht : HKLM\SOFTWARE\Swearware ~ Erstelle ein Backup der Registrierungsdatenbank ... OK ~ Lösche die Wiederherstellungspunkte ... Gelöscht : RP #2906 [Geplanter Prüfpunkt | 05/11/2015 14:45:13] Gelöscht : RP #2907 [Windows Update | 05/12/2015 23:00:12] Gelöscht : RP #2908 [Geplanter Prüfpunkt | 05/13/2015 22:16:07] Ein neuer Wiederherstellungspunkt wurde erstellt ! ~ Stelle die Systemeinstellungen wieder her ... OK ########## - EOF - ########## Habe Java, Adobe-Reader und Adobe Flash Player dank Ihrer Links gut aktualisiert bekommen. Leider gibt es weiter Probleme mit dem Updaten auf den aktuellen Internet Explorer. Ich habe mir die Einstellungen meines DSL-Gerätes angesehen (meine Telefon- und Internetverbindung ist alt - und super billig, wichtig für mich ...). Leider kann man den Browser nicht umstellen. Die Verbindung wird standartmäßig über den Internet-Explorer gestartet, auch wenn ich an anderer Stelle Chrome als Standartbrowser festgelegt hatte (funktioniert für Links aus Word-Dokumenten). Das Problem mit dem Updaten vom Internet Explorer ist, das ich noch W. Vista Service Pack 1 habe, der nicht mehr unterstützt wird. Trotz Anleitung "Informationen zum Installieren von Windows Vista Service Pack 2 (SP2)" bin ich immer noch nicht weiter ... Werde heute weiter probieren ... Aber wenn Sie eine Idee haben ... Gruß Undine Inzwischen bin ich mit dem Windows Updater immerhin soweit, dass ich das Update für den Vista Service Pack 2 angezeigt bekomme ... Aber bei 50 % der Installation ist jedesmal Ende, es geht nichts mehr weiter und ist auch nach einer halben Stunde immer noch bei 50 %. Ich habe das Update von Vista Service Pack 2 nun drei Mal abgebrochen. Nach dem ersten Versuch fand ich 14 weitere wichtige Updates zum Installieren, was auch klappte. ... Beim letzten Versuch hatte ich Antiviren-Programme und Firewall deaktiviert, funktionierte auch nicht. Ein weiteres Problem ist aufgetaucht: Emails zu schicken klappt nicht (empfangen schon). Ob dieses Problem erst durch die Update-Versuche entstanden ist, oder schon davor kann ich nicht sagen. Ich hatte - sofern mein Email-Schutz funktionierte - immer meine Mails gelesen (auch Links z. B. nach hier benutzt) aber keine eigenen Mails geschickt. Hier die Anzeigen der letzten beiden Versuche (... statt persönliches): Betreff … Protokoll: SMTP, Serverantwort: '454 TLS not available due to temporary reason', Port: 25, Secure (SSL): Ja, Serverfehler: 454, Fehlernummer: 0x800CCC7F Und nach Neustart beim nächsten Versuch: Unbekannter Fehler. Betreff … Protokoll: SMTP, Port: 25, Secure (SSL): Ja, Fehlernummer: 0x800CCC0B Gruß Undine Hallo schrauber, inzwischen habe ich es geschafft den Service Pack 2 manuell zu installieren (nachdem ich alle vorher nötigen Updates mit dem Windows Updater gemacht hatte, die SP2-Installation per Updater aber nicht klappte) und dann den Windows Explorer 9 installiert (der Link von Filepony funktionierte nicht richtig, leitete zwar zu Microsoft Windows weiter, aber nicht zum Internet Explorer 11). Die Probleme mit "zuletzt verwendet" und dem Senden von Mails bestehen aber weiterhin. Was kann ich da machen? Gruß Undine |
17.05.2015, 07:26 | #28 |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Hast Du es mal beim Emailanbieter auf der Weboberfläche versucht? Die Fehlermeldung ist eigentlich eindeutig und zeigt nen Error beim Anbieter.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
17.05.2015, 14:12 | #29 |
| W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI Hallo schrauber, beim Email-Anbieter, auf dessen Webseite klappt das Senden. Das habe ich gestern ausprobiert, weil ich die Mail unbedingt senden wollte. Nur bei Windows Mail, das ich üblicherweise benutze, funktioniert das Senden nicht. Gruß Undine |
18.05.2015, 09:08 | #30 | |
/// the machine /// TB-Ausbilder | W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSIZitat:
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI |
adobe, antivirus, avg, avira, brantall[trojan], browser, canon, computer, conduit/searchprotect, defender, desktop, einstellungen, home, installation, kaspersky, logfile, musik, programm, realtek, registry, roguekiller, services.exe, software, störungen, svchost.exe, system, temp, tr/crypt.xpack.gen, tr/crypt.xpack.gen' [trojan], trojaner, windows, windows vista home basic, ändern |