Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben

M-K-D-B · 13.04.2016, 15:15

Servus,

Schritt 1
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei von AdwCleaner,
die Logdatei von MBAM,
die Logdatei von JRT,
die beiden neuen Logdateien von FRST.

Arina666 · 13.04.2016, 16:15

Hallo,

ich habe hier gerade ein Problem.

Den ADWCleaner habe ich runtergeladen, auf dem Desktop gespeichert.
Allerdings lässt sich der AdwCleaner nicht öffnen. Weder per Doppelklick oder über die rechte Maustaste per "Öffnen" noch als Administrator

Habe den Rechner anschließend nochmal einen Neustart unterzogen. Hat sich aber nichts geändert. Kann den Cleaner nicht öffnen ...

Beim Laptop hat alles reibungslos funktioniert. Wieso jetzt an meinem Desktop PC nicht?! :/

Habe jetzt nochmal Version .108 (eine alte Version) geladen. Diese lässt sich öffnen. Aber alles was jünger ist, funktioniert nicht.
Soll ich diese jetzt verwenden?

LG

LG

M-K-D-B · 13.04.2016, 16:44

Servus,

hast du dein Antivirenprogramm vorher deaktiviert?

Wenn es gar nicht anders geht, dann nimm die neueste Version, die geht.
Oder benenne die neueste Version in Arina666.exe um und versuche es erneut.

Arina666 · 13.04.2016, 18:14

So,

Antivirenprogramm war deaktiviert

Habe die neueste Version umbenannt und auch das hat nicht geholfen.

Habe jetzt die neueste Version genommen, die mein PC akzeptiert hat.

Hier folgt nun Schritt 1:

Code:

ATTFilter

# AdwCleaner v5.108 - Bericht erstellt am 13/04/2016 um 18:06:21
# Aktualisiert am 30/03/2016 von Xplode
# Datenbank : 2016-04-11.4 [Server]
# Betriebssystem : Windows Vista (TM) Ultimate  (x86)
# Benutzername : Arina - ARINA-PC
# Gestartet von : C:\Users\Arina\Desktop\AdwCleaner_5.108.exe
# Option : Löschen
# Unterstützung : hxxp://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****

[-] Ordner gelöscht : C:\Program Files\DriverTurbo
[-] Ordner gelöscht : C:\Program Files\MP4 Player
[-] Ordner gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverTurbo
[-] Ordner gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP4 Player
[-] Ordner gelöscht : C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa
[-] Ordner gelöscht : C:\Users\Arina\AppData\Local\Temp\DriverTurbo
[-] Ordner gelöscht : C:\Users\Arina\AppData\Roaming\DriverTurbo
[-] Ordner gelöscht : C:\Users\Arina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MP4 Player

***** [ Dateien ] *****


***** [ DLLs ] *****


***** [ Verknüpfungen ] *****


***** [ Aufgabenplanung ] *****


***** [ Registrierungsdatenbank ] *****

[-] Schlüssel gelöscht : HKCU\Software\DriverTurbo
[-] Schlüssel gelöscht : HKCU\Software\OCS
[-] Schlüssel gelöscht : HKLM\SOFTWARE\DriverTurbo
[-] Schlüssel gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DriverTurbo
[-] Schlüssel gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MP4 Player
[-] Schlüssel gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DriverTurbo
[-] Schlüssel gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MP4 Player
[-] Wert gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MP4 Player]
[#] Wert gelöscht : HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Microsoft\Windows\CurrentVersion\Run [MP4 Player]

***** [ Internetbrowser ] *****

[-] [C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] gelöscht : feed.helperbar.com
[-] [C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] gelöscht : search.yahoo.com_
[-] [C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] gelöscht : search.yahoo.com
[-] [C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] gelöscht : desmume.softonic.de
[-] [C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Default_Search_Provider_Data] gelöscht : hxxp://feed.helperbar.com/?p=mKO_AwFzXIpYRbkHo3StMBGUhCtXlT7G1muS_BRDXuH_N6QVFdlkuDDcdAasLT6spXUqrx6KvVSZ5kVjOc0CeTjoabIA171zsFLOT6zL_J8yjLA6juXHL6VBMLVMQf0uk0i9Or2ofwzbJoGyOgsq5HMWtVCtvkeNmjpuJhC-LLETb0te6LtKNEVSu3musMkM0LPP-MlAaARr9CpHq8UE4uDLc-9YNA,,&q={searchTerms}
[-] [C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] gelöscht : jjflmfkjppbmejlfbhlpgjnomdoefkfa

*************************

:: "Tracing" schlüssel löschen
:: Proxy Einstellungen zurückgesetzt
:: Winsock Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [3368 Bytes] - [13/04/2016 18:06:21]
C:\AdwCleaner\AdwCleaner[S1].txt - [3667 Bytes] - [13/04/2016 18:00:52]

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [3514 Bytes] ##########

Schritt 2

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org


Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malware Protection, Starting, 
Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malware Protection, Started, 
Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:22:03, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: domains, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: ips, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: akadomains, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: akaips, 11, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, AKA Domain Database, 0.0.0.0, 2015.9.11.2, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, Remediation Database, 2016.2.12.1, 2016.4.12.1, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, Rootkit Database, 2016.2.8.1, 2016.4.9.1, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, AKA IP Database, 0.0.0.0, 2015.9.11.2, 
Update, 13.04.2016 18:22:32, SYSTEM, ARINA-PC, Manual, IP Database, 0.0.0.0, 2016.4.7.1, 
Update, 13.04.2016 18:22:34, SYSTEM, ARINA-PC, Manual, Domain Database, 0.0.0.0, 2016.4.13.4, 
Update, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Manual, Malware Database, 2016.2.16.6, 2016.4.13.4, 
Protection, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Protection, Refresh, Starting, 
Protection, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopping, 
Protection, 13.04.2016 18:22:57, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopped, 
Protection, 13.04.2016 18:23:18, SYSTEM, ARINA-PC, Protection, Refresh, Success, 
Protection, 13.04.2016 18:23:19, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:23:27, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malware Protection, Starting, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malware Protection, Started, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:43:10, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 

(end)

Schritt 3

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.4 (03.14.2016)
Operating System: Windows Vista (TM) Ultimate x86 
Ran by Arina (Administrator) on 13.04.2016 at 18:55:44,85
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 18 

Successfully deleted: C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa (Folder) 
Successfully deleted: C:\Windows\System32\ai_recyclebin (Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3HUW09UW (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\464ELODF (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9HAYSAZR (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CBBW15XX (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QJ15PEK9 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S2VJVYR3 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U849C861 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\Arina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WITETAA0 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3HUW09UW (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\464ELODF (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9HAYSAZR (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CBBW15XX (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QJ15PEK9 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S2VJVYR3 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U849C861 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WITETAA0 (Temporary Internet Files Folder) 



Registry: 3 

Successfully deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\GoogleChromeAutoLaunch_36EA474F41DBC8D7EBF8F870D8C697CA (Registry Value) 
Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{38279E1A-7019-40C1-B579-E99DFB3312E8} (Registry Key)
Successfully deleted: HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{23FD9C33-A9E1-48A1-8404-E5925CF1C8E1} (Registry Value) 




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 13.04.2016 at 18:59:04,34
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FRST

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:10-04-2016 01
durchgeführt von Arina (Administrator) auf ARINA-PC (13-04-2016 19:12:26)
Gestartet von C:\Users\Arina\Desktop
Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser)
Platform: Microsoft® Windows Vista™ Ultimate  (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 7 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Microsoft Corporation) C:\Windows\System32\SLsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe
(pdfforge GmbH) C:\Program Files\PDF Architect 4\creator-ws.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Google Inc.) C:\Program Files\Google\Update\1.3.29.5\GoogleCrashHandler.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Microsoft Corporation) C:\Windows\System32\wuauclt.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbam.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Windows Defender] => C:\Program Files\Windows Defender\MSASCui.exe [1004136 2006-11-02] (Microsoft Corporation)
HKLM\...\Run: [AVMWlanClient] => C:\Program Files\avmwlanstick\FRITZWLANMini.exe [283136 2007-02-02] (AVM Berlin)
HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [807392 2016-03-19] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [RtHDVCpl] => C:\Windows\RtHDVCpl.exe [4317184 2006-12-29] (Realtek Semiconductor)
HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [66328 2016-01-27] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [DriverTurbo] => C:\Program Files\DriverTurbo\DriverTurbo.exe
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify Web Helper] => C:\Users\Arina\AppData\Roaming\Spotify\SpotifyWebHelper.exe [1524848 2016-03-31] (Spotify Ltd)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Arina\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify] => C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe [6754928 2016-03-31] (Spotify Ltd)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {629c23f0-3f4f-11e4-9b5e-806e6f6e6963} - D:\Autorun.exe
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {c1305a49-3f50-11e4-a009-0017312fa2fe} - E:\pushinst.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-04-12]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe (McAfee, Inc.)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{F81179B7-9A32-4BA9-A2FD-6C0E393A582D}: [DhcpNameServer] 192.168.178.1
ManualProxies: 

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

FireFox:
========
FF ProfilePath: C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_21_0_0_213.dll [2016-04-13] ()
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2015-09-24] (Adobe Systems Inc.)
FF Extension: Avira Browser Safety - C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default\Extensions\abs@avira.com [2014-09-18] [ist nicht signiert]
FF HKLM\...\Firefox\Extensions: [pdf_architect_4_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension
FF Extension: PDF Architect 4 Creator - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension [2015-11-30] [ist nicht signiert]

Chrome: 
=======
CHR DefaultSearchURL: Default -> hxxp://feed.helperbar.com/?p=mKO_AwFzXIpYRbkHo3StMBGUhCtXlT7G1muS_BRDXuH_N6QVFdlkuDDcdAasLT6spXUqrx6KvVSZ5kVjOc0CeTjoabIA171zsFLOT6zL_J8yjLA6juXHL6VBMLVMQf0uk0i9Or2ofwzbJoGyOgsq5HMWtVCtvkeNmjpuJhC-LLETb0te6LtKNEVSu3musMkM0LPP-MlAaARr9CpHq8UE4uDLc-9YNA,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.yahoo.com
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR Profile: C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Präsentationen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-19]
CHR Extension: (Google Docs) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-19]
CHR Extension: (Google Drive) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-27]
CHR Extension: (YouTube) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-27]
CHR Extension: (Google-Suche) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04]
CHR Extension: (Google Tabellen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-19]
CHR Extension: (Avira Browserschutz) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2016-04-13]
CHR Extension: (Google Docs Offline) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-31]
CHR Extension: (AdBlock) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-03-31]
CHR Extension: (Share With Care) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa [2016-04-13]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13]
CHR Extension: (Google Mail) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-10]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [940304 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [1236896 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [260456 2016-01-27] (Avira Operations GmbH & Co. KG)
R2 MBAMScheduler; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
R2 MBAMService; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe [239880 2016-03-11] (McAfee, Inc.)
S3 npggsvc; C:\Windows\system32\GameMon.des [3299328 2014-11-26] (INCA Internet Co., Ltd.)
S3 PDF Architect 4; C:\Program Files\PDF Architect 4\ws.exe [2220768 2015-10-19] (pdfforge GmbH)
S3 PDF Architect 4 CrashHandler; C:\Program Files\PDF Architect 4\crash-handler-ws.exe [970464 2015-10-19] (pdfforge GmbH)
R2 PDF Architect 4 Creator; C:\Program Files\PDF Architect 4\creator-ws.exe [772832 2015-10-19] (pdfforge GmbH)
S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [263272 2006-11-02] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [109016 2016-03-19] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136272 2016-03-19] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37896 2015-06-01] (Avira Operations GmbH & Co. KG)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2007-01-26] (AVM Berlin) [Datei ist nicht signiert]
R3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2007-01-26] (AVM GmbH)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [24448 2016-03-10] (Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [170200 2016-04-13] (Malwarebytes)
R3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [31848 2015-06-10] (Avira Operations GmbH & Co. KG)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 dump_wmimmc; \??\C:\Program Files\Webzen\FlyFF\GameGuard\dump_wmimmc.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-13 18:59 - 2016-04-13 18:59 - 00003825 _____ C:\Users\Arina\Desktop\JRT.txt
2016-04-13 18:54 - 2016-04-13 18:54 - 01610352 _____ (Malwarebytes) C:\Users\Arina\Desktop\JRT.exe
2016-04-13 18:52 - 2016-04-13 18:52 - 00002471 _____ C:\Users\Arina\Desktop\mbam.txt
2016-04-13 18:21 - 2016-04-13 19:00 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-04-13 18:21 - 2016-04-13 18:21 - 00000690 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware 
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-04-13 18:21 - 2016-03-10 14:09 - 00053120 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2016-04-13 18:21 - 2016-03-10 14:08 - 00126336 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2016-04-13 18:21 - 2016-03-10 14:08 - 00024448 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2016-04-13 18:12 - 2016-04-13 18:14 - 22851472 _____ (Malwarebytes ) C:\Users\Arina\Desktop\mbam-setup-2.2.1.1043.exe
2016-04-13 17:20 - 2016-04-13 17:20 - 03102720 _____ C:\Users\Arina\Desktop\AdwCleaner_5.108.exe
2016-04-13 17:18 - 2016-04-13 18:06 - 00000000 ____D C:\AdwCleaner
2016-04-12 19:33 - 2016-04-12 19:36 - 00176760 _____ C:\TDSSKiller.3.1.0.9_12.04.2016_19.33.01_log.txt
2016-04-12 19:30 - 2016-04-12 19:31 - 04727984 _____ (Kaspersky Lab ZAO) C:\Users\Arina\Desktop\tdsskiller.exe
2016-04-12 19:25 - 2016-04-12 19:26 - 00019827 _____ C:\Users\Arina\Desktop\Addition.txt
2016-04-12 19:24 - 2016-04-13 19:12 - 00012317 _____ C:\Users\Arina\Desktop\FRST.txt
2016-04-12 19:24 - 2016-04-13 19:12 - 00000000 ____D C:\FRST
2016-04-12 19:22 - 2016-04-12 19:22 - 01725952 _____ (Farbar) C:\Users\Arina\Desktop\FRST.exe
2016-04-12 19:19 - 2016-04-12 19:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
2016-03-31 14:21 - 2016-03-31 14:21 - 00085086 _____ C:\Users\Arina\Downloads\Merkblatt_ELSTER_Einzureichende_Belege.pdf
2016-03-31 11:23 - 2016-03-31 11:23 - 00070674 _____ C:\Users\Arina\ESt2015_Düser_Ingo_und_Düser_Janin.elfo
2016-03-31 10:13 - 2016-03-31 10:13 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElsterFormular

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-13 19:01 - 2015-09-11 14:16 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-04-13 18:55 - 2014-12-14 10:36 - 00000000 ____D C:\Users\Arina\AppData\Roaming\Spotify
2016-04-13 18:54 - 2014-09-18 19:14 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-04-13 18:50 - 2014-12-14 10:38 - 00000000 ____D C:\Users\Arina\AppData\Local\Spotify
2016-04-13 18:50 - 2014-09-18 19:14 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-04-13 18:48 - 2006-11-02 17:48 - 00651406 _____ C:\Windows\system32\perfh007.dat
2016-04-13 18:48 - 2006-11-02 17:48 - 00120112 _____ C:\Windows\system32\perfc007.dat
2016-04-13 18:48 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\inf
2016-04-13 18:48 - 2006-11-02 12:33 - 01488240 _____ C:\Windows\system32\PerfStringBackup.INI
2016-04-13 18:42 - 2006-11-02 15:00 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-04-13 18:42 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2016-04-13 18:42 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2016-04-13 18:41 - 2006-11-02 15:00 - 00032620 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2016-04-13 17:01 - 2015-09-11 14:16 - 00797376 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2016-04-13 17:01 - 2015-09-11 14:16 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2016-04-12 19:35 - 2014-09-18 19:15 - 00001975 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2016-04-12 19:35 - 2014-09-18 19:15 - 00001963 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2016-04-12 19:19 - 2015-11-09 17:18 - 00001952 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
2016-04-12 19:19 - 2015-11-09 17:18 - 00000000 ____D C:\Program Files\McAfee Security Scan
2016-03-31 12:02 - 2015-11-30 15:37 - 00000000 ____D C:\Users\Arina\AppData\Roaming\PDF Architect 4
2016-03-31 11:23 - 2014-09-18 18:35 - 00000000 ____D C:\Users\Arina
2016-03-31 10:15 - 2014-10-18 16:32 - 00000000 ____D C:\ProgramData\elsterformular
2016-03-31 10:13 - 2015-03-11 10:58 - 00001022 _____ C:\Users\Public\Desktop\ElsterFormular.lnk
2016-03-31 10:13 - 2015-03-11 10:56 - 00000000 ____D C:\Program Files\ElsterFormular
2016-03-19 08:22 - 2014-09-18 19:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2016-03-19 08:17 - 2014-09-18 20:25 - 00136272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2016-03-19 08:17 - 2014-09-18 20:25 - 00109016 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2016-03-19 08:08 - 2015-10-18 17:11 - 00001003 _____ C:\Users\Public\Desktop\Avira Launcher.lnk
2016-03-19 08:08 - 2014-09-18 19:18 - 00000000 ____D C:\ProgramData\Package Cache

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-12-27 10:10 - 2015-12-27 10:10 - 0000036 ____H () C:\Users\Arina\AppData\Roaming\swk.ini
2015-12-27 07:24 - 2015-12-27 07:24 - 0004608 _____ () C:\Users\Arina\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

Einige Dateien in TEMP:
====================
C:\Users\Arina\AppData\Local\Temp\avgnt.exe
C:\Users\Arina\AppData\Local\Temp\EAD6661.exe
C:\Users\Arina\AppData\Local\Temp\EAD71CF.exe
C:\Users\Arina\AppData\Local\Temp\EAD8DC4.exe
C:\Users\Arina\AppData\Local\Temp\EADDCF8.exe
C:\Users\Arina\AppData\Local\Temp\EADE9C3.exe
C:\Users\Arina\AppData\Local\Temp\EADED6D.exe
C:\Users\Arina\AppData\Local\Temp\EADFD99.exe
C:\Users\Arina\AppData\Local\Temp\libeay32.dll
C:\Users\Arina\AppData\Local\Temp\msvcr120.dll
C:\Users\Arina\AppData\Local\Temp\sqlite3.dll
C:\Users\Arina\AppData\Local\Temp\UninstallEADM.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-04-13 18:55

==================== Ende vom FRST.txt ============================

Addition:

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-13 19:13:07)
Gestartet von C:\Users\Arina\Desktop
Microsoft® Windows Vista™ Ultimate  (X86) (2014-09-18 16:26:24)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1934108226-2973484334-1918421108-500 - Administrator - Disabled)
Arina (S-1-5-21-1934108226-2973484334-1918421108-1000 - Administrator - Enabled) => C:\Users\Arina
Gast (S-1-5-21-1934108226-2973484334-1918421108-501 - Limited - Disabled)
UpdatusUser (S-1-5-21-1934108226-2973484334-1918421108-1001 - Limited - Enabled) => C:\Users\UpdatusUser

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Flash Player 21 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 21.0.0.213 - Adobe Systems Incorporated)
Adobe Flash Player ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 9.0.124.0 - Adobe Systems Incorporated)
Adobe Reader X (10.1.16) - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.16 - Adobe Systems Incorporated)
Avira Antivirus (HKLM\...\Avira Antivirus) (Version: 15.0.16.282 - Avira Operations GmbH & Co. KG)
Avira Launcher (HKLM\...\{3b87484e-d70b-4b4f-ad59-2ae89571e2cf}) (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG)
Avira Launcher (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG) Hidden
CPUID CPU-Z 1.71.1 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
Die Sims™ 3 (HKLM\...\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}) (Version: 1.67.2 - Electronic Arts)
ElsterFormular (HKLM\...\ElsterFormular) (Version: 17.2.19144 - Landesfinanzdirektion Thüringen)
EPSON-Drucker-Software (HKLM\...\EPSON Printer and Utilities) (Version:  - SEIKO EPSON Corporation)
EVEREST Home Edition v2.20 (HKLM\...\EVEREST Home Edition_is1) (Version: 2.20 - Lavalys Inc)
Flyff (HKLM\...\{7E210E1C-52A1-40E3-817B-D504E9F64DFA}_is1) (Version: Flyff - WEBZEN Inc)
Google Chrome (HKLM\...\Google Chrome) (Version: 49.0.2623.112 - Google Inc.)
Google Update Helper (Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.309.1 - McAfee, Inc.)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft WSE 3.0 Runtime (HKLM\...\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}) (Version: 3.0.5305.0 - Microsoft Corp.)
NVIDIA Grafiktreiber 307.83 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 307.83 - NVIDIA Corporation)
NVIDIA Update 1.10.8 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update) (Version: 1.10.8 - NVIDIA Corporation)
OpenOffice 4.1.1 (HKLM\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)
Origin (HKLM\...\Origin) (Version: 8.4.1.210 - Electronic Arts, Inc.)
PDF Architect 4 (HKLM\...\PDF Architect 4) (Version: 4.0.26.25466 - pdfforge GmbH)
PDF Architect 4 Create Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 Edit Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 View Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.2.1 - pdfforge)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.5350 - Realtek Semiconductor Corp.)
Scan2PDF 1.6 (HKLM\...\Scan2PDF_is1) (Version:  - Koma-Code)
Spotify (HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Spotify) (Version: 1.0.24.104.g92a22684 - Spotify AB)
VLC media player (HKLM\...\VLC media player) (Version: 2.2.1 - VideoLAN)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {2F7696E2-D699-48B2-A9DF-3D24D9E8497F} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-14] (Adobe Systems Incorporated)
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Task: {AA04316A-0BE7-4D2E-8EFD-78539AC3A464} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2016-04-13] (Adobe Systems Incorporated)
Task: {B03EC56A-B3FB-4B08-BB5C-6097EE4A477F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {CDA1D71D-58A1-4FED-AF59-05E0FB42A62F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============


==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxps://aeriagames.com
IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxp://aeriagames.com

==================== Hosts Inhalt: ==========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2006-11-02 12:23 - 2016-04-12 19:19 - 00000802 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1       localhost
0.0.0.1	mssplus.mcafee.com

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\Wallpaper\img24.jpg
HKU\S-1-5-21-1934108226-2973484334-1918421108-1001\Control Panel\Desktop\\Wallpaper -> C:\windows\Web\Wallpaper\img24.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [WinCollab-DFSR-In-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-DFSR-Out-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-In-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-In-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [{AED4CA55-F36F-4696-8030-42072527E089}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [{8FD5EDD5-2EC9-4A91-B69D-E4294F7C611C}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [TCP Query User{86990BA0-6650-4FED-B633-8028E2DA5570}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [UDP Query User{62266EBC-0996-43FB-B686-EA4DCA37A238}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [TCP Query User{13D26848-23E8-43D2-8CC0-B0D673799378}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [UDP Query User{966CCDF2-9846-4291-9C61-B3340B918A31}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [TCP Query User{EDD2E74D-BCEE-4DD6-BE17-CF5E3BEF3A21}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{0A1C4173-26ED-417C-AE1F-24E3EEE238CF}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [{37EF2582-4A4E-4F23-8911-9D5DB3B62DFA}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

17-11-2015 16:43:52 Geplanter Prüfpunkt
30-11-2015 15:36:24 Installed PDF Architect 4 View Module
30-11-2015 15:37:36 Installed PDF Architect 4 Edit Module
30-11-2015 15:38:09 Installed PDF Architect 4 Create Module
22-01-2016 16:50:28 Geplanter Prüfpunkt
13-04-2016 17:55:07 Geplanter Prüfpunkt
13-04-2016 18:55:45 JRT Pre-Junkware Removal

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (04/13/2016 05:03:57 PM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
   bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
   bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
   bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
   bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
   bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
   bei System.ServicePro...

Error: (03/31/2016 10:15:30 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Fehlerhafte Anwendung installationsverwaltung.exe, Version 0.0.0.0, Zeitstempel 0x56e2ddf5, fehlerhaftes Modul Qt5WinExtras.dll, Version 5.2.1.0, Zeitstempel 0x5357c785, Ausnahmecode 0xc0000005, Fehleroffset 0x0000d2f5,
Prozess-ID 0x4d0, Anwendungsstartzeit installationsverwaltung.exe0.

Error: (01/21/2016 09:09:40 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm TS3W.exe, Version 0.2.0.209 arbeitet nicht mehr mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem zu suchen.
Prozess-ID: 1248
Anfangszeit: 01d1541fa6060e63
Zeitpunkt der Beendigung: 712

Error: (01/21/2016 09:42:27 AM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
   bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
   bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
   bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
   bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
   bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
   bei System.ServiceProcess.ServiceBase.DeferredSessionCh...

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).


Systemfehler:
=============
Error: (04/13/2016 06:56:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Display Driver Service1

Error: (04/13/2016 06:06:49 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: 1Neustart des DienstsWindows-Suche%%1056

Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Update Service Daemon1

Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows Presentation Foundation Font Cache 4.0.0.0101Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows-Suche1300001Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: PDF Architect 4 Creator1

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Adobe Acrobat Update Service1

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Druckwarteschlange1600001Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Softwarelizenzierung11200001Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Display Driver Service1


CodeIntegrity:
===================================
  Date: 2016-04-13 19:13:00.907
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 19:13:00.891
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 19:13:00.891
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 19:13:00.875
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 19:13:00.719
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 19:13:00.704
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 19:13:00.688
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 19:13:00.672
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 18:27:56.916
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-13 18:27:56.901
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info =========================== 

Processor: Intel(R) Pentium(R) 4 CPU 3.00GHz
Prozentuale Nutzung des RAM: 39%
Installierter physikalischer RAM: 3070.63 MB
Verfügbarer physikalischer RAM: 1862.88 MB
Summe virtueller Speicher: 6329.72 MB
Verfügbarer virtueller Speicher: 4833.51 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:153.38 GB) (Free:62.89 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: (Sims3) (CDROM) (Total:5.56 GB) (Free:0 GB) UDF

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 153.4 GB) (Disk ID: 0A4B71BA)
Partition 1: (Active) - (Size=153.4 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================

M-K-D-B · 14.04.2016, 15:16

Servus,

was genau meinst du eigentlich, wenn du sagst, du kannst die neueste Version von AdwCleaner nicht starten?

Welche Fehlermeldung erscheint denn?

Lesestoff
MBAM-Funde posten: So gehts...
Manchmal ist es wichtig zu wissen, welche Schadprogramme im Vorfeld ohne Anweisung der Helfer schon gelöscht wurden.
Daher benötige ich den Inhalt der Logdatei, in welcher der Suchlauf protokolliert wurde.

Starte MBAM.
Klicke auf Verlauf.
Klicke auf Anwendungsprotokolle.
Klicke auf das letzte Scan-Protokoll mit Funden.
Klicke auf Export und dann auf "In Zwischenablage kopieren".
Poste den Inhalt in Code-Tags [CODE] [/CODE] durch Einfügen mit Strg+V als Antwort in Deinen Thread.

Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:regfind
DriverTurbo
feed.helperbar
MP4 Player
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Der Suchlauf kann einige Zeit dauern.
Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

Arina666 · 14.04.2016, 15:34

Hallo,

Ich meine damit, das sich die ersten beiden neuesten Versionen nicht öffnen lassen. Es erscheint keine Fehlermeldung. Wenn ich darauf klicke, tut sich gar nichts. Das meine ich damit, dass sich das Programm nicht starten lässt. Wenn es eine Fehlermeldung gegeben hätte, hätte ich das gepostet

War die MBAM txt Datei nicht richtig? Sonst poste ich es gerne nochmal

LG

Hier das Ergebnis von Systemlook:

Code:

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 16:32 on 14/04/2016 by Arina
Administrator - Elevation successful

========== regfind ==========

Searching for "DriverTurbo"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"DriverTurbo"="C:\Program Files\DriverTurbo\DriverTurbo.exe"
[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Program Files\DriverTurbo\DriverTurbo.exe"="DriverTurbo"
[HKEY_USERS\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"DriverTurbo"="C:\Program Files\DriverTurbo\DriverTurbo.exe"
[HKEY_USERS\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Program Files\DriverTurbo\DriverTurbo.exe"="DriverTurbo"
[HKEY_USERS\S-1-5-21-1934108226-2973484334-1918421108-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Program Files\DriverTurbo\DriverTurbo.exe"="DriverTurbo"

Searching for "feed.helperbar"
No data found.

Searching for "MP4 Player"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\defaulticon]
@=""C:\Program Files\MP4 Player\prog_ico.ico""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\shell\open\command]
@=""C:\Program Files\MP4 Player\mp4Player.exe" -o "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\shell\play]
@="&Play With Mp4 Player"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file\shell\play\command]
@=""C:\Program Files\MP4 Player\mp4Player.exe" -o "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe]
@="C:\Program Files\MP4 Player\mp4Player.exe"

-= EOF =-

M-K-D-B · 14.04.2016, 15:34

Zitat:

Zitat von Arina666

War die MBAM txt Datei nicht richtig? Sonst poste ich es gerne nochmal

Du hast die Logdatei der Echtzeitüberwachung gepostet, ich hätte gerne die Logdatei des Suchlaufs...

Arina666 · 14.04.2016, 15:45

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org


Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malware Protection, Starting, 
Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malware Protection, Started, 
Protection, 13.04.2016 18:21:56, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:22:03, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: domains, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: ips, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: akadomains, 11, 
Error, 13.04.2016 18:22:30, SYSTEM, ARINA-PC, Update, Bad md5 or size: akaips, 11, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, AKA Domain Database, 0.0.0.0, 2015.9.11.2, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, Remediation Database, 2016.2.12.1, 2016.4.12.1, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, Rootkit Database, 2016.2.8.1, 2016.4.9.1, 
Update, 13.04.2016 18:22:31, SYSTEM, ARINA-PC, Manual, AKA IP Database, 0.0.0.0, 2015.9.11.2, 
Update, 13.04.2016 18:22:32, SYSTEM, ARINA-PC, Manual, IP Database, 0.0.0.0, 2016.4.7.1, 
Update, 13.04.2016 18:22:34, SYSTEM, ARINA-PC, Manual, Domain Database, 0.0.0.0, 2016.4.13.4, 
Update, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Manual, Malware Database, 2016.2.16.6, 2016.4.13.4, 
Protection, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Protection, Refresh, Starting, 
Protection, 13.04.2016 18:22:56, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopping, 
Protection, 13.04.2016 18:22:57, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopped, 
Protection, 13.04.2016 18:23:18, SYSTEM, ARINA-PC, Protection, Refresh, Success, 
Protection, 13.04.2016 18:23:19, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:23:27, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malware Protection, Starting, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malware Protection, Started, 
Protection, 13.04.2016 18:43:03, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:43:10, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Update, 13.04.2016 18:53:33, SYSTEM, ARINA-PC, Scheduler, Domain Database, 2016.4.13.4, 2016.4.13.5, 
Protection, 13.04.2016 18:53:34, SYSTEM, ARINA-PC, Protection, Refresh, Starting, 
Protection, 13.04.2016 18:53:34, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopping, 
Protection, 13.04.2016 18:53:34, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopped, 
Protection, 13.04.2016 18:54:00, SYSTEM, ARINA-PC, Protection, Refresh, Success, 
Protection, 13.04.2016 18:54:00, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 18:54:10, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 
Update, 13.04.2016 19:49:25, SYSTEM, ARINA-PC, Scheduler, Malware Database, 2016.4.13.4, 2016.4.13.5, 
Protection, 13.04.2016 19:49:26, SYSTEM, ARINA-PC, Protection, Refresh, Starting, 
Protection, 13.04.2016 19:49:26, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopping, 
Protection, 13.04.2016 19:49:26, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Stopped, 
Protection, 13.04.2016 19:49:39, SYSTEM, ARINA-PC, Protection, Refresh, Success, 
Protection, 13.04.2016 19:49:39, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Starting, 
Protection, 13.04.2016 19:49:45, SYSTEM, ARINA-PC, Protection, Malicious Website Protection, Started, 

(end)

Ist es jetzt richtig?

M-K-D-B · 15.04.2016, 19:26

Servus,

nein, das ist wieder die Logdatei der Echtzeitüberwachung....

Wir entfernen die letzten Reste und kontrollieren nochmal alles.

Hinweis: Der Suchlauf mit ESET kann länger dauern.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

start
CloseProcesses:
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [DriverTurbo] => C:\Program Files\DriverTurbo\DriverTurbo.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe
CHR DefaultSearchURL: Default -> hxxp://feed.helperbar.com/?p=mKO_AwFzXIpYRbkHo3StMBGUhCtXlT7G1muS_BRDXuH_N6QVFdlkuDDcdAasLT6spXUqrx6KvVSZ5kVjOc0CeTjoabIA171zsFLOT6zL_J8yjLA6juXHL6VBMLVMQf0uk0i9Or2ofwzbJoGyOgsq5HMWtVCtvkeNmjpuJhC-LLETb0te6LtKNEVSu3musMkM0LPP-MlAaARr9CpHq8UE4uDLc-9YNA,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.yahoo.com
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.

Starte die HitmanPro.exe
Klicke auf
Entferne den Haken bei
Klicke auf
und
Akzeptiere die Lizenzbedingungen und klicke auf
Klicke auf

und auf
Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
und speichere die Logdatei auf Deinem Desktop.
Schließe HitmanPro und poste mir das Log.

Schritt 4

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Gibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix,
die Logdatei von ESET,
die Logdatei von HitmanPro,
die beiden neuen Logdateien von FRST,
die Beantwortung der gestellten Fragen.

Arina666 · 17.04.2016, 10:18

Guten Morgen,

ich habe nochmal nachgesehen, wegen MBAM.
In den Anwendungsprotokollen sind nur "Schutzprotokolle" gespeichert. Es sind keine "Such-Protokolle" gelistet. Woran liegt das?

Habe wie beschrieben den Suchlauf gestartet.

LG

Schritt 1

Code:

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-17 11:13:13) Run:1
Gestartet von C:\Users\Arina\Desktop
Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser)
Start-Modus: Normal

==============================================

fixlist Inhalt:
*****************
start
CloseProcesses:
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [DriverTurbo] => C:\Program Files\DriverTurbo\DriverTurbo.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe
CHR DefaultSearchURL: Default -> hxxp://feed.helperbar.com/?p=mKO_AwFzXIpYRbkHo3StMBGUhCtXlT7G1muS_BRDXuH_N6QVFdlkuDDcdAasLT6spXUqrx6KvVSZ5kVjOc0CeTjoabIA171zsFLOT6zL_J8yjLA6juXHL6VBMLVMQf0uk0i9Or2ofwzbJoGyOgsq5HMWtVCtvkeNmjpuJhC-LLETb0te6LtKNEVSu3musMkM0LPP-MlAaARr9CpHq8UE4uDLc-9YNA,,&q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.yahoo.com
CHR DefaultSuggestURL: Default -> {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end
*****************

Prozess erfolgreich geschlossen.
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DriverTurbo => Wert erfolgreich entfernt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file => konnte nicht entfernt werden im ersten Versuch (ErrorCode: C0000121), siehe nächste Zeile.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp4player.file => Schlüssel erfolgreich entfernt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mp4Player.exe => Schlüssel erfolgreich entfernt
Chrome DefaultSearchURL => erfolgreich entfernt
Chrome DefaultSearchKeyword => erfolgreich entfernt
Chrome DefaultSuggestURL => erfolgreich entfernt

========= RemoveProxy: =========

HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => Wert erfolgreich entfernt
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wert erfolgreich entfernt
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Wert erfolgreich entfernt
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Wert erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========  ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl�sungscache wurde geleert.

========= Ende von CMD: =========


=========  netsh winsock reset =========


Der Winsock-Katalog wurde zur�ckgesetzt.
Sie m�ssen den Computer neu starten, um den Vorgang abzuschlie�en.


========= Ende von CMD: =========

EmptyTemp: => 1.8 GB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende vom Fixlog 11:14:05 ====

M-K-D-B · 17.04.2016, 11:16

Servus,

ok, dann warte ich auf die restlichen Logdateien.

Arina666 · 17.04.2016, 14:50

Schritt 2

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# end=init
# utc_time=2016-04-17 09:22:45
# local_time=2016-04-17 11:22:45 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.0.6000 NT 
Update Init
Update Download
esets_scanner_update returned -1 esets_gle=37126
Update Finalize
Updated modules version: 0
Old modules - leave modules
Update Init
Update Download
Update Init
Update Download
Update Finalize
Updated modules version: 29104
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# end=updated
# utc_time=2016-04-17 09:31:22
# local_time=2016-04-17 11:31:22 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.0.6000 NT 
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# engine=29104
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-04-17 11:20:55
# local_time=2016-04-17 01:20:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6000 NT 
# compatibility_mode_1='Avira Antivirus'
# compatibility_mode=1815 16777213 100 100 8381 52800651 0 0
# compatibility_mode_1=''
# compatibility_mode=5892 16776574 100 95 298420785 298424910 0 0
# scanned=173328
# found=14
# cleaned=0
# scan_time=6572
sh=FF40B3A6FC5C3337DB4D319BB4E7FA65C03840D1 ft=1 fh=6f964c4cfa468e48 vn="Win32/Ivefound evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\AdwCleaner\FileQuarantine\C\Program Files\MP4 Player\Mp4Player.exe.vir"
sh=BA3C65EB1B44F05DFEE583A7B9ED77505E44B835 ft=1 fh=d6fc58829664dd4f vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe"
sh=71366AF71FC0FE2B220BBC9A5B1D5FAD74A2AFEA ft=1 fh=fbd158287ff03aee vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer (1).exe"
sh=9D155AE8E71EB645FCBD73173C22C38F94099FC5 ft=1 fh=893d84d4a030c75e vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer.exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup.exe"
sh=D68C1D1F8133BF0796FA3B3B7417CE9870C0FD59 ft=1 fh=1705f4e017bb32df vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\Scan2PDF - CHIP-Installer.exe"
sh=71366AF71FC0FE2B220BBC9A5B1D5FAD74A2AFEA ft=1 fh=fbd158287ff03aee vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\MP4 Player - CHIP-Installer (1).exe"
sh=9D155AE8E71EB645FCBD73173C22C38F94099FC5 ft=1 fh=893d84d4a030c75e vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\MP4 Player - CHIP-Installer.exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup.exe"
sh=D68C1D1F8133BF0796FA3B3B7417CE9870C0FD59 ft=1 fh=1705f4e017bb32df vn="Variante von Win32/DownloadSponsor.C evtl. unerwÃ¼nschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\Scan2PDF - CHIP-Installer.exe"

Schritt 3

Code:

ATTFilter


	Code: 

 ATTFilter

  
	HitmanPro 3.7.13.258
www.hitmanpro.com

   Computer name . . . . : ARINA-PC
   Windows . . . . . . . : 6.0.0.6000.X86/2
   User name . . . . . . : Arina-PC\Arina
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2016-04-17 15:13:18
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 28m 26s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 4

   Objects scanned . . . : 699.896
   Files scanned . . . . : 34.798
   Remnants scanned  . . : 228.455 files / 436.643 keys

Suspicious files ____________________________________________________________

   C:\Users\Arina\Desktop\FRST.exe
      Size . . . . . . . : 1.725.952 bytes
      Age  . . . . . . . : 4.8 days (2016-04-12 19:22:01)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 60C6508DD75C51DB24A2922E00758B158BAE07C4A0DE737D59B1EBFB276C3D28
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
      References
         HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Users\Arina\Desktop\FRST.exe

   C:\Windows\system32\GameMon.des
      Size . . . . . . . : 3.299.328 bytes
      Age  . . . . . . . : 490.7 days (2014-12-13 21:24:10)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 8A8908E793D5BB90E300E12603EFD3D1C1A271A76E97CA1BA66418FECCDF4198
      Product  . . . . . : nProtect Game Monitor
      Publisher  . . . . : INCA Internet Co., Ltd.
      Description  . . . : nProtect Game Monitor Rev 2162
      Version  . . . . . : 2014.11.27.1
      RSA Key Size . . . : 2048
      Service  . . . . . : npggsvc
      LanguageID . . . . : 1042
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 27.0
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
         Starts automatically as a service during system bootup.
         Program is code signed with a valid Authenticode certificate.
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\npggsvc\

Schritt 4

FRST

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:10-04-2016 01
durchgeführt von Arina (Administrator) auf ARINA-PC (17-04-2016 15:47:09)
Gestartet von C:\Users\Arina\Desktop
Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser)
Platform: Microsoft® Windows Vista™ Ultimate  (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 7 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\System32\SLsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe
(pdfforge GmbH) C:\Program Files\PDF Architect 4\creator-ws.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbam.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Google Inc.) C:\Program Files\Google\Update\1.3.29.5\GoogleCrashHandler.exe
(AVM Berlin) C:\Program Files\avmwlanstick\FRITZWLANMini.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\SpotifyWebHelper.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.Systray.exe
(Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
(Microsoft Corporation) C:\Windows\System32\wuauclt.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Windows Defender] => C:\Program Files\Windows Defender\MSASCui.exe [1004136 2006-11-02] (Microsoft Corporation)
HKLM\...\Run: [AVMWlanClient] => C:\Program Files\avmwlanstick\FRITZWLANMini.exe [283136 2007-02-02] (AVM Berlin)
HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [807392 2016-03-19] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [RtHDVCpl] => C:\Windows\RtHDVCpl.exe [4317184 2006-12-29] (Realtek Semiconductor)
HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [66328 2016-01-27] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify Web Helper] => C:\Users\Arina\AppData\Roaming\Spotify\SpotifyWebHelper.exe [1524848 2016-03-31] (Spotify Ltd)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Arina\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify] => C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe [6754928 2016-03-31] (Spotify Ltd)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {629c23f0-3f4f-11e4-9b5e-806e6f6e6963} - D:\Autorun.exe
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {c1305a49-3f50-11e4-a009-0017312fa2fe} - E:\pushinst.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-04-12]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe (McAfee, Inc.)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{F81179B7-9A32-4BA9-A2FD-6C0E393A582D}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

FireFox:
========
FF ProfilePath: C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_21_0_0_213.dll [2016-04-13] ()
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2015-09-24] (Adobe Systems Inc.)
FF Extension: Avira Browser Safety - C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default\Extensions\abs@avira.com [2014-09-18] [ist nicht signiert]
FF HKLM\...\Firefox\Extensions: [pdf_architect_4_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension
FF Extension: PDF Architect 4 Creator - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension [2015-11-30] [ist nicht signiert]

Chrome: 
=======
CHR Profile: C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Präsentationen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-19]
CHR Extension: (Google Docs) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-19]
CHR Extension: (Google Drive) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-27]
CHR Extension: (YouTube) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-27]
CHR Extension: (Google-Suche) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04]
CHR Extension: (Google Tabellen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-19]
CHR Extension: (Avira Browserschutz) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2016-04-13]
CHR Extension: (Google Docs Offline) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-31]
CHR Extension: (AdBlock) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-04-17]
CHR Extension: (Share With Care) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa [2016-04-13]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13]
CHR Extension: (Google Mail) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-10]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [940304 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [1236896 2016-03-19] (Avira Operations GmbH & Co. KG)
R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [260456 2016-01-27] (Avira Operations GmbH & Co. KG)
R2 MBAMScheduler; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes)
R2 MBAMService; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe [1136608 2016-03-10] (Malwarebytes)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe [239880 2016-03-11] (McAfee, Inc.)
S3 npggsvc; C:\Windows\system32\GameMon.des [3299328 2014-11-26] (INCA Internet Co., Ltd.)
S3 PDF Architect 4; C:\Program Files\PDF Architect 4\ws.exe [2220768 2015-10-19] (pdfforge GmbH)
S3 PDF Architect 4 CrashHandler; C:\Program Files\PDF Architect 4\crash-handler-ws.exe [970464 2015-10-19] (pdfforge GmbH)
R2 PDF Architect 4 Creator; C:\Program Files\PDF Architect 4\creator-ws.exe [772832 2015-10-19] (pdfforge GmbH)
S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [263272 2006-11-02] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [109016 2016-03-19] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136272 2016-03-19] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37896 2015-06-01] (Avira Operations GmbH & Co. KG)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2007-01-26] (AVM Berlin) [Datei ist nicht signiert]
R3 eapihdrv; C:\Users\Arina\AppData\Local\Temp\ehdrv.sys [135760 2016-04-17] (ESET)
R3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2007-01-26] (AVM GmbH)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [24448 2016-03-10] (Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [170200 2016-04-17] (Malwarebytes)
R3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [31848 2015-06-10] (Avira Operations GmbH & Co. KG)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 dump_wmimmc; \??\C:\Program Files\Webzen\FlyFF\GameGuard\dump_wmimmc.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-17 15:12 - 2016-04-17 15:46 - 00000000 ____D C:\ProgramData\HitmanPro
2016-04-17 15:11 - 2016-04-17 15:12 - 10457272 _____ (SurfRight B.V.) C:\Users\Arina\Desktop\HitmanPro.exe
2016-04-17 11:20 - 2016-04-17 11:20 - 02870984 _____ (ESET) C:\Users\Arina\Desktop\esetsmartinstaller_deu.exe
2016-04-17 11:13 - 2016-04-17 11:14 - 00003130 _____ C:\Users\Arina\Desktop\Fixlog.txt
2016-04-14 16:32 - 2016-04-14 16:33 - 00003432 _____ C:\Users\Arina\Desktop\SystemLook.txt
2016-04-14 16:31 - 2016-04-14 16:31 - 00139264 _____ C:\Users\Arina\Desktop\SystemLook.exe
2016-04-13 18:59 - 2016-04-13 18:59 - 00003825 _____ C:\Users\Arina\Desktop\JRT.txt
2016-04-13 18:54 - 2016-04-13 18:54 - 01610352 _____ (Malwarebytes) C:\Users\Arina\Desktop\JRT.exe
2016-04-13 18:52 - 2016-04-13 18:52 - 00002471 _____ C:\Users\Arina\Desktop\mbam.txt
2016-04-13 18:21 - 2016-04-17 15:10 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-04-13 18:21 - 2016-04-13 18:21 - 00000690 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware 
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-04-13 18:21 - 2016-03-10 14:09 - 00053120 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2016-04-13 18:21 - 2016-03-10 14:08 - 00126336 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2016-04-13 18:21 - 2016-03-10 14:08 - 00024448 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2016-04-13 18:12 - 2016-04-13 18:14 - 22851472 _____ (Malwarebytes ) C:\Users\Arina\Desktop\mbam-setup-2.2.1.1043.exe
2016-04-13 17:20 - 2016-04-13 17:20 - 03102720 _____ C:\Users\Arina\Desktop\AdwCleaner_5.108.exe
2016-04-13 17:18 - 2016-04-13 18:06 - 00000000 ____D C:\AdwCleaner
2016-04-12 19:33 - 2016-04-12 19:36 - 00176760 _____ C:\TDSSKiller.3.1.0.9_12.04.2016_19.33.01_log.txt
2016-04-12 19:30 - 2016-04-12 19:31 - 04727984 _____ (Kaspersky Lab ZAO) C:\Users\Arina\Desktop\tdsskiller.exe
2016-04-12 19:25 - 2016-04-13 19:13 - 00022920 _____ C:\Users\Arina\Desktop\Addition.txt
2016-04-12 19:24 - 2016-04-17 15:47 - 00012754 _____ C:\Users\Arina\Desktop\FRST.txt
2016-04-12 19:24 - 2016-04-17 15:47 - 00000000 ____D C:\FRST
2016-04-12 19:22 - 2016-04-12 19:22 - 01725952 _____ (Farbar) C:\Users\Arina\Desktop\FRST.exe
2016-04-12 19:19 - 2016-04-12 19:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
2016-03-31 14:21 - 2016-03-31 14:21 - 00085086 _____ C:\Users\Arina\Downloads\Merkblatt_ELSTER_Einzureichende_Belege.pdf
2016-03-31 11:23 - 2016-03-31 11:23 - 00070674 _____ C:\Users\Arina\ESt2015_Düser_Ingo_und_Düser_Janin.elfo
2016-03-31 10:13 - 2016-03-31 10:13 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElsterFormular

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-04-17 15:47 - 2014-12-14 10:36 - 00000000 ____D C:\Users\Arina\AppData\Roaming\Spotify
2016-04-17 15:15 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2016-04-17 15:15 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2016-04-17 15:01 - 2015-09-11 14:16 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-04-17 14:54 - 2014-09-18 19:14 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-04-17 11:20 - 2006-11-02 17:48 - 00651406 _____ C:\Windows\system32\perfh007.dat
2016-04-17 11:20 - 2006-11-02 17:48 - 00120112 _____ C:\Windows\system32\perfc007.dat
2016-04-17 11:20 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\inf
2016-04-17 11:20 - 2006-11-02 12:33 - 01488240 _____ C:\Windows\system32\PerfStringBackup.INI
2016-04-17 11:17 - 2014-12-14 10:38 - 00000000 ____D C:\Users\Arina\AppData\Local\Spotify
2016-04-17 11:16 - 2014-09-18 19:14 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-04-17 11:15 - 2006-11-02 15:00 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-04-17 11:14 - 2006-11-02 15:00 - 00032620 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2016-04-13 17:01 - 2015-09-11 14:16 - 00797376 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2016-04-13 17:01 - 2015-09-11 14:16 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2016-04-12 19:35 - 2014-09-18 19:15 - 00001975 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2016-04-12 19:35 - 2014-09-18 19:15 - 00001963 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2016-04-12 19:19 - 2015-11-09 17:18 - 00001952 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
2016-04-12 19:19 - 2015-11-09 17:18 - 00000000 ____D C:\Program Files\McAfee Security Scan
2016-03-31 12:02 - 2015-11-30 15:37 - 00000000 ____D C:\Users\Arina\AppData\Roaming\PDF Architect 4
2016-03-31 11:23 - 2014-09-18 18:35 - 00000000 ____D C:\Users\Arina
2016-03-31 10:15 - 2014-10-18 16:32 - 00000000 ____D C:\ProgramData\elsterformular
2016-03-31 10:13 - 2015-03-11 10:58 - 00001022 _____ C:\Users\Public\Desktop\ElsterFormular.lnk
2016-03-31 10:13 - 2015-03-11 10:56 - 00000000 ____D C:\Program Files\ElsterFormular
2016-03-19 08:22 - 2014-09-18 19:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2016-03-19 08:17 - 2014-09-18 20:25 - 00136272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2016-03-19 08:17 - 2014-09-18 20:25 - 00109016 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2016-03-19 08:08 - 2015-10-18 17:11 - 00001003 _____ C:\Users\Public\Desktop\Avira Launcher.lnk
2016-03-19 08:08 - 2014-09-18 19:18 - 00000000 ____D C:\ProgramData\Package Cache

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-12-27 10:10 - 2015-12-27 10:10 - 0000036 ____H () C:\Users\Arina\AppData\Roaming\swk.ini
2015-12-27 07:24 - 2015-12-27 07:24 - 0004608 _____ () C:\Users\Arina\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

Einige Dateien in TEMP:
====================
C:\Users\Arina\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-04-17 11:21

==================== Ende vom FRST.txt ============================

Schritt 4

Addition

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-17 15:47:56)
Gestartet von C:\Users\Arina\Desktop
Microsoft® Windows Vista™ Ultimate  (X86) (2014-09-18 16:26:24)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1934108226-2973484334-1918421108-500 - Administrator - Disabled)
Arina (S-1-5-21-1934108226-2973484334-1918421108-1000 - Administrator - Enabled) => C:\Users\Arina
Gast (S-1-5-21-1934108226-2973484334-1918421108-501 - Limited - Disabled)
UpdatusUser (S-1-5-21-1934108226-2973484334-1918421108-1001 - Limited - Enabled) => C:\Users\UpdatusUser

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)


==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Flash Player 21 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 21.0.0.213 - Adobe Systems Incorporated)
Adobe Flash Player ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 9.0.124.0 - Adobe Systems Incorporated)
Adobe Reader X (10.1.16) - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.16 - Adobe Systems Incorporated)
Avira Antivirus (HKLM\...\Avira Antivirus) (Version: 15.0.16.282 - Avira Operations GmbH & Co. KG)
Avira Launcher (HKLM\...\{3b87484e-d70b-4b4f-ad59-2ae89571e2cf}) (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG)
Avira Launcher (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG) Hidden
CPUID CPU-Z 1.71.1 (HKLM\...\CPUID CPU-Z_is1) (Version:  - )
Die Sims™ 3 (HKLM\...\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}) (Version: 1.67.2 - Electronic Arts)
ElsterFormular (HKLM\...\ElsterFormular) (Version: 17.2.19144 - Landesfinanzdirektion Thüringen)
EPSON-Drucker-Software (HKLM\...\EPSON Printer and Utilities) (Version:  - SEIKO EPSON Corporation)
EVEREST Home Edition v2.20 (HKLM\...\EVEREST Home Edition_is1) (Version: 2.20 - Lavalys Inc)
Flyff (HKLM\...\{7E210E1C-52A1-40E3-817B-D504E9F64DFA}_is1) (Version: Flyff - WEBZEN Inc)
Google Chrome (HKLM\...\Google Chrome) (Version: 49.0.2623.112 - Google Inc.)
Google Update Helper (Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.309.1 - McAfee, Inc.)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft WSE 3.0 Runtime (HKLM\...\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}) (Version: 3.0.5305.0 - Microsoft Corp.)
NVIDIA Grafiktreiber 307.83 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 307.83 - NVIDIA Corporation)
NVIDIA Update 1.10.8 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update) (Version: 1.10.8 - NVIDIA Corporation)
OpenOffice 4.1.1 (HKLM\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)
Origin (HKLM\...\Origin) (Version: 8.4.1.210 - Electronic Arts, Inc.)
PDF Architect 4 (HKLM\...\PDF Architect 4) (Version: 4.0.26.25466 - pdfforge GmbH)
PDF Architect 4 Create Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 Edit Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 View Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.2.1 - pdfforge)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.5350 - Realtek Semiconductor Corp.)
Scan2PDF 1.6 (HKLM\...\Scan2PDF_is1) (Version:  - Koma-Code)
Spotify (HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Spotify) (Version: 1.0.24.104.g92a22684 - Spotify AB)
VLC media player (HKLM\...\VLC media player) (Version: 2.2.1 - VideoLAN)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {2F7696E2-D699-48B2-A9DF-3D24D9E8497F} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-14] (Adobe Systems Incorporated)
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Task: {AA04316A-0BE7-4D2E-8EFD-78539AC3A464} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2016-04-13] (Adobe Systems Incorporated)
Task: {B03EC56A-B3FB-4B08-BB5C-6097EE4A477F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {CDA1D71D-58A1-4FED-AF59-05E0FB42A62F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2015-03-30 19:13 - 2016-03-31 09:58 - 47503472 _____ () C:\Users\Arina\AppData\Roaming\Spotify\libcef.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxps://aeriagames.com
IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxp://aeriagames.com

==================== Hosts Inhalt: ==========================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2006-11-02 12:23 - 2016-04-12 19:19 - 00000802 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1       localhost
0.0.0.1	mssplus.mcafee.com

==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\Wallpaper\img24.jpg
HKU\S-1-5-21-1934108226-2973484334-1918421108-1001\Control Panel\Desktop\\Wallpaper -> C:\windows\Web\Wallpaper\img24.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [WinCollab-DFSR-In-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-DFSR-Out-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-In-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-In-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [{AED4CA55-F36F-4696-8030-42072527E089}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [{8FD5EDD5-2EC9-4A91-B69D-E4294F7C611C}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [TCP Query User{86990BA0-6650-4FED-B633-8028E2DA5570}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [UDP Query User{62266EBC-0996-43FB-B686-EA4DCA37A238}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [TCP Query User{13D26848-23E8-43D2-8CC0-B0D673799378}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [UDP Query User{966CCDF2-9846-4291-9C61-B3340B918A31}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [TCP Query User{EDD2E74D-BCEE-4DD6-BE17-CF5E3BEF3A21}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{0A1C4173-26ED-417C-AE1F-24E3EEE238CF}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [{37EF2582-4A4E-4F23-8911-9D5DB3B62DFA}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

22-01-2016 16:50:28 Geplanter Prüfpunkt
13-04-2016 17:55:07 Geplanter Prüfpunkt
13-04-2016 18:55:45 JRT Pre-Junkware Removal
14-04-2016 17:26:31 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (04/13/2016 05:03:57 PM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
   bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
   bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
   bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
   bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
   bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
   bei System.ServicePro...

Error: (03/31/2016 10:15:30 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Fehlerhafte Anwendung installationsverwaltung.exe, Version 0.0.0.0, Zeitstempel 0x56e2ddf5, fehlerhaftes Modul Qt5WinExtras.dll, Version 5.2.1.0, Zeitstempel 0x5357c785, Ausnahmecode 0xc0000005, Fehleroffset 0x0000d2f5,
Prozess-ID 0x4d0, Anwendungsstartzeit installationsverwaltung.exe0.

Error: (01/21/2016 09:09:40 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm TS3W.exe, Version 0.2.0.209 arbeitet nicht mehr mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem zu suchen.
Prozess-ID: 1248
Anfangszeit: 01d1541fa6060e63
Zeitpunkt der Beendigung: 712

Error: (01/21/2016 09:42:27 AM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
   bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
   bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
   bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
   bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
   bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
   bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
   bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
   bei System.ServiceProcess.ServiceBase.DeferredSessionCh...

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).

Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ".  The open file operation will fail with error -1023 (0xfffffc01).


Systemfehler:
=============
Error: (04/17/2016 11:13:15 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}

Error: (04/13/2016 06:56:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Display Driver Service1

Error: (04/13/2016 06:06:49 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: 1Neustart des DienstsWindows-Suche%%1056

Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Update Service Daemon1

Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows Presentation Foundation Font Cache 4.0.0.0101Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows-Suche1300001Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: PDF Architect 4 Creator1

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Adobe Acrobat Update Service1

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Druckwarteschlange1600001Neustart des Diensts

Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Softwarelizenzierung11200001Neustart des Diensts


CodeIntegrity:
===================================
  Date: 2016-04-17 15:47:49.687
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.671
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.655
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.640
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.263
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.247
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.232
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 15:47:49.200
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 10:47:57.538
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2016-04-17 10:47:57.522
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info =========================== 

Processor: Intel(R) Pentium(R) 4 CPU 3.00GHz
Prozentuale Nutzung des RAM: 54%
Installierter physikalischer RAM: 3070.63 MB
Verfügbarer physikalischer RAM: 1387.19 MB
Summe virtueller Speicher: 6329.72 MB
Verfügbarer virtueller Speicher: 4232.68 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:153.38 GB) (Free:69.97 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: (Sims3) (CDROM) (Total:5.56 GB) (Free:0 GB) UDF

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 153.4 GB) (Disk ID: 0A4B71BA)
Partition 1: (Active) - (Size=153.4 GB) - (Type=07 NTFS)

==================== Ende vom Addition.txt ============================

Entschuldige die Frage, aber warum muss ESET sofort nach dem Scan wieder gelöscht werden?

M-K-D-B · 18.04.2016, 13:13

Servus,

auch auf dem 2. Rechner kein Zbot zu sehen...

wenn du den ESET Online Scanner einmal die Woche nutzen möchtest, könntest du ihn natürlich auch auf dem Rechner lassen.

Zitat:

CHIP-Installer.exe

Bitte keinen Chip-Installer mehr verwenden! Bitte lesen: CHIP-Installer – was ist das?

Reste entfernen
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

start
CloseProcesses:
C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe
C:\Users\Arina\Downloads\*CHIP-Installer.exe
C:\Users\Arina\Downloads\PDFCreator-2_2*.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Reboot:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Die Fixlog von FRST gleich posten, da diese sonst mit DelFix (siehe weiter unten) automatisch entfernt wird!

Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Cleanup:
Alle Logs gepostet? Dann lade Dir bitte

DelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	Microsoft Security Essentials	ESET

Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:

Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.

NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.

Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie

.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .

Abschließend noch ein paar grundsätzliche Bemerkungen:

Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Lade keine Software von Chip, Softonic oder SourceForge. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...

und/oder das Forum mit einer kleinen Spende unterstützen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Arina666 · 18.04.2016, 15:02

Code:

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-18 15:51:00) Run:2
Gestartet von C:\Users\Arina\Desktop
Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser)
Start-Modus: Normal

==============================================

fixlist Inhalt:
*****************
start
CloseProcesses:
C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe
C:\Users\Arina\Downloads\*CHIP-Installer.exe
C:\Users\Arina\Downloads\PDFCreator-2_2*.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Reboot:
end
*****************

Prozess erfolgreich geschlossen.
C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe => erfolgreich verschoben

=========== "C:\Users\Arina\Downloads\*CHIP-Installer.exe" ==========

C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer.exe => erfolgreich verschoben
C:\Users\Arina\Downloads\Scan2PDF - CHIP-Installer.exe => erfolgreich verschoben

========= Ende -> "C:\Users\Arina\Downloads\*CHIP-Installer.exe" ========


=========== "C:\Users\Arina\Downloads\PDFCreator-2_2*.exe" ==========

C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe => erfolgreich verschoben
C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe => erfolgreich verschoben
C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup.exe => erfolgreich verschoben

========= Ende -> "C:\Users\Arina\Downloads\PDFCreator-2_2*.exe" ========


=========== "C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe" ==========

nicht gefunden

========= Ende -> "C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe" ========


=========== "C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe" ==========

nicht gefunden

========= Ende -> "C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe" ========

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8F402515-240D-4674-A498-3CA75A9F0924}" => Schlüssel erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8F402515-240D-4674-A498-3CA75A9F0924}" => Schlüssel erfolgreich entfernt
C:\Windows\System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => erfolgreich verschoben
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{A205F047-9EDB-485E-9862-F744A1600E66}" => Schlüssel erfolgreich entfernt


Das System musste neu gestartet werden.

==== Ende vom Fixlog 15:51:03 ====

So, soweit bin ich fertig

Es ist schön, dass zumindest 2 Rechner nicht mit dem Zbot infiziert sind. Allerdings gibt es da noch einen Rechner, den ich auch angekündigt hatte.

Kannst du mir bei diesem Rechner auch noch helfen?

Wie sieht es mit Smartphone und Tablet aus? Kannst du mir da auch weiterhelfen? Beide haben Android drauf und ich habe gelesen, dass Android auch von Viren befallen werden kann. Ist dem so?

Freue mich auf eine Antwort.

LG

M-K-D-B · 19.04.2016, 16:01

Servus,

eins nach dem anderen...

kommen wir nun zum 3. Rechner.

Zur ersten Analyse bitte FRST und TDSS-Killer ausführen:

Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2
Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Bitte poste mit deiner nächsten Antwort

die Logdatei von TDSS-Killer,
die beiden neuen Logdateien von FRST.

13.04.2016, 16:44	#33
M-K-D-B /// TB-Ausbilder	Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben Servus, hast du dein Antivirenprogramm vorher deaktiviert? Wenn es gar nicht anders geht, dann nimm die neueste Version, die geht. Oder benenne die neueste Version in Arina666.exe um und versuche es erneut. __________________

17.04.2016, 11:16	#41
M-K-D-B /// TB-Ausbilder	Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben Servus, ok, dann warte ich auf die restlichen Logdateien.

Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben

Log-Analyse und Auswertung: Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben