| |
| |||||||
Log-Analyse und Auswertung: Zbot/Zeus auf einem unserer Rechner (?) Telekom SchreibenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
17.04.2016, 14:50
| #1 |
 |  Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben Schritt 2 Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# end=init
# utc_time=2016-04-17 09:22:45
# local_time=2016-04-17 11:22:45 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.0.6000 NT
Update Init
Update Download
esets_scanner_update returned -1 esets_gle=37126
Update Finalize
Updated modules version: 0
Old modules - leave modules
Update Init
Update Download
Update Init
Update Download
Update Finalize
Updated modules version: 29104
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# end=updated
# utc_time=2016-04-17 09:31:22
# local_time=2016-04-17 11:31:22 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.0.6000 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=157e135c5641604094fd3181423e73eb
# engine=29104
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-04-17 11:20:55
# local_time=2016-04-17 01:20:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6000 NT
# compatibility_mode_1='Avira Antivirus'
# compatibility_mode=1815 16777213 100 100 8381 52800651 0 0
# compatibility_mode_1=''
# compatibility_mode=5892 16776574 100 95 298420785 298424910 0 0
# scanned=173328
# found=14
# cleaned=0
# scan_time=6572
sh=FF40B3A6FC5C3337DB4D319BB4E7FA65C03840D1 ft=1 fh=6f964c4cfa468e48 vn="Win32/Ivefound evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\FileQuarantine\C\Program Files\MP4 Player\Mp4Player.exe.vir"
sh=BA3C65EB1B44F05DFEE583A7B9ED77505E44B835 ft=1 fh=d6fc58829664dd4f vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe"
sh=71366AF71FC0FE2B220BBC9A5B1D5FAD74A2AFEA ft=1 fh=fbd158287ff03aee vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer (1).exe"
sh=9D155AE8E71EB645FCBD73173C22C38F94099FC5 ft=1 fh=893d84d4a030c75e vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\MP4 Player - CHIP-Installer.exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\PDFCreator-2_2_1-setup.exe"
sh=D68C1D1F8133BF0796FA3B3B7417CE9870C0FD59 ft=1 fh=1705f4e017bb32df vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arina\Downloads\Scan2PDF - CHIP-Installer.exe"
sh=71366AF71FC0FE2B220BBC9A5B1D5FAD74A2AFEA ft=1 fh=fbd158287ff03aee vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\MP4 Player - CHIP-Installer (1).exe"
sh=9D155AE8E71EB645FCBD73173C22C38F94099FC5 ft=1 fh=893d84d4a030c75e vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\MP4 Player - CHIP-Installer.exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup (1).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup (2).exe"
sh=70E8C969380B407C729D004E4253284D1F11632A ft=1 fh=f5c773b3297abd44 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2_1-setup.exe"
sh=D68C1D1F8133BF0796FA3B3B7417CE9870C0FD59 ft=1 fh=1705f4e017bb32df vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Windows.old.000\Documents and Settings\Arina\Downloads\Scan2PDF - CHIP-Installer.exe"
Code:
ATTFilter
FRST Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:10-04-2016 01 durchgeführt von Arina (Administrator) auf ARINA-PC (17-04-2016 15:47:09) Gestartet von C:\Users\Arina\Desktop Geladene Profile: Arina & UpdatusUser (Verfügbare Profile: Arina & UpdatusUser) Platform: Microsoft® Windows Vista™ Ultimate (X86) Sprache: Deutsch (Deutschland) Internet Explorer Version 7 (Standard-Browser: Chrome) Start-Modus: Normal Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Prozesse (Nicht auf der Ausnahmeliste) ================= (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.) (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Microsoft Corporation) C:\Windows\System32\SLsvc.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe (Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe (pdfforge GmbH) C:\Program Files\PDF Architect 4\creator-ws.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (Malwarebytes) C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbam.exe (Microsoft Corporation) C:\Windows\System32\conime.exe (Google Inc.) C:\Program Files\Google\Update\1.3.29.5\GoogleCrashHandler.exe (AVM Berlin) C:\Program Files\avmwlanstick\FRITZWLANMini.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Realtek Semiconductor) C:\Windows\RtHDVCpl.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe (Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\SpotifyWebHelper.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\Launcher\Avira.Systray.exe (Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe (McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Spotify Ltd) C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (Microsoft Corporation) C:\Windows\System32\wuauclt.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe (Microsoft Corporation) C:\Windows\System32\conime.exe (Google Inc.) C:\Program Files\Google\Chrome\Application\chrome.exe ==================== Registry (Nicht auf der Ausnahmeliste) =========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.) HKLM\...\Run: [Windows Defender] => C:\Program Files\Windows Defender\MSASCui.exe [1004136 2006-11-02] (Microsoft Corporation) HKLM\...\Run: [AVMWlanClient] => C:\Program Files\avmwlanstick\FRITZWLANMini.exe [283136 2007-02-02] (AVM Berlin) HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [807392 2016-03-19] (Avira Operations GmbH & Co. KG) HKLM\...\Run: [RtHDVCpl] => C:\Windows\RtHDVCpl.exe [4317184 2006-12-29] (Realtek Semiconductor) HKLM\...\Run: [Avira SystrayStartTrigger] => C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe [66328 2016-01-27] (Avira Operations GmbH & Co. KG) HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify Web Helper] => C:\Users\Arina\AppData\Roaming\Spotify\SpotifyWebHelper.exe [1524848 2016-03-31] (Spotify Ltd) HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Arina\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Run: [Spotify] => C:\Users\Arina\AppData\Roaming\Spotify\Spotify.exe [6754928 2016-03-31] (Spotify Ltd) HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {629c23f0-3f4f-11e4-9b5e-806e6f6e6963} - D:\Autorun.exe HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\MountPoints2: {c1305a49-3f50-11e4-a009-0017312fa2fe} - E:\pushinst.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-04-12] ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.309\SSScheduler.exe (McAfee, Inc.) ==================== Internet (Nicht auf der Ausnahmeliste) ==================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.) Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 Tcpip\..\Interfaces\{F81179B7-9A32-4BA9-A2FD-6C0E393A582D}: [DhcpNameServer] 192.168.178.1 Internet Explorer: ================== HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm FireFox: ======== FF ProfilePath: C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_21_0_0_213.dll [2016-04-13] () FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-03] (Google Inc.) FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2015-04-13] (VideoLAN) FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2015-09-24] (Adobe Systems Inc.) FF Extension: Avira Browser Safety - C:\Users\Arina\AppData\Roaming\Mozilla\Firefox\Profiles\zJ9ch5hK.default\Extensions\abs@avira.com [2014-09-18] [ist nicht signiert] FF HKLM\...\Firefox\Extensions: [pdf_architect_4_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension FF Extension: PDF Architect 4 Creator - C:\Program Files\PDF Architect 4\resources\pdfarchitect4firefoxextension [2015-11-30] [ist nicht signiert] Chrome: ======= CHR Profile: C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Google Präsentationen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-19] CHR Extension: (Google Docs) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-19] CHR Extension: (Google Drive) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-27] CHR Extension: (YouTube) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-27] CHR Extension: (Google-Suche) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04] CHR Extension: (Google Tabellen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-19] CHR Extension: (Avira Browserschutz) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2016-04-13] CHR Extension: (Google Docs Offline) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-31] CHR Extension: (AdBlock) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-04-17] CHR Extension: (Share With Care) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjflmfkjppbmejlfbhlpgjnomdoefkfa [2016-04-13] CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13] CHR Extension: (Google Mail) - C:\Users\Arina\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-10] CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx ==================== Dienste (Nicht auf der Ausnahmeliste) ======================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) S2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [940304 2016-03-19] (Avira Operations GmbH & Co. KG) R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [466504 2016-03-19] (Avira Operations GmbH & Co. KG) S2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [1236896 2016-03-19] (Avira Operations GmbH & Co. KG) R2 Avira.ServiceHost; C:\Program Files\Avira\Launcher\Avira.ServiceHost.exe [260456 2016-01-27] (Avira Operations GmbH & Co. KG) R2 MBAMScheduler; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamscheduler.exe [1514464 2016-03-10] (Malwarebytes) R2 MBAMService; C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware \mbamservice.exe [1136608 2016-03-10] (Malwarebytes) S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe [239880 2016-03-11] (McAfee, Inc.) S3 npggsvc; C:\Windows\system32\GameMon.des [3299328 2014-11-26] (INCA Internet Co., Ltd.) S3 PDF Architect 4; C:\Program Files\PDF Architect 4\ws.exe [2220768 2015-10-19] (pdfforge GmbH) S3 PDF Architect 4 CrashHandler; C:\Program Files\PDF Architect 4\crash-handler-ws.exe [970464 2015-10-19] (pdfforge GmbH) R2 PDF Architect 4 Creator; C:\Program Files\PDF Architect 4\creator-ws.exe [772832 2015-10-19] (pdfforge GmbH) S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [263272 2006-11-02] (Microsoft Corporation) ===================== Treiber (Nicht auf der Ausnahmeliste) ========================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [109016 2016-03-19] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136272 2016-03-19] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37896 2015-06-01] (Avira Operations GmbH & Co. KG) S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2007-01-26] (AVM Berlin) [Datei ist nicht signiert] R3 eapihdrv; C:\Users\Arina\AppData\Local\Temp\ehdrv.sys [135760 2016-04-17] (ESET) R3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2007-01-26] (AVM GmbH) R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [24448 2016-03-10] (Malwarebytes) R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [170200 2016-04-17] (Malwarebytes) R3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] () R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [31848 2015-06-10] (Avira Operations GmbH & Co. KG) S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X] S3 dump_wmimmc; \??\C:\Program Files\Webzen\FlyFF\GameGuard\dump_wmimmc.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] ==================== NetSvcs (Nicht auf der Ausnahmeliste) =================== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.) ==================== Ein Monat: Erstellte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2016-04-17 15:12 - 2016-04-17 15:46 - 00000000 ____D C:\ProgramData\HitmanPro 2016-04-17 15:11 - 2016-04-17 15:12 - 10457272 _____ (SurfRight B.V.) C:\Users\Arina\Desktop\HitmanPro.exe 2016-04-17 11:20 - 2016-04-17 11:20 - 02870984 _____ (ESET) C:\Users\Arina\Desktop\esetsmartinstaller_deu.exe 2016-04-17 11:13 - 2016-04-17 11:14 - 00003130 _____ C:\Users\Arina\Desktop\Fixlog.txt 2016-04-14 16:32 - 2016-04-14 16:33 - 00003432 _____ C:\Users\Arina\Desktop\SystemLook.txt 2016-04-14 16:31 - 2016-04-14 16:31 - 00139264 _____ C:\Users\Arina\Desktop\SystemLook.exe 2016-04-13 18:59 - 2016-04-13 18:59 - 00003825 _____ C:\Users\Arina\Desktop\JRT.txt 2016-04-13 18:54 - 2016-04-13 18:54 - 01610352 _____ (Malwarebytes) C:\Users\Arina\Desktop\JRT.exe 2016-04-13 18:52 - 2016-04-13 18:52 - 00002471 _____ C:\Users\Arina\Desktop\mbam.txt 2016-04-13 18:21 - 2016-04-17 15:10 - 00170200 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys 2016-04-13 18:21 - 2016-04-13 18:21 - 00000690 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\Users\Arina\Desktop\ Malwarebytes Anti-Malware 2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 2016-04-13 18:21 - 2016-04-13 18:21 - 00000000 ____D C:\ProgramData\Malwarebytes 2016-04-13 18:21 - 2016-03-10 14:09 - 00053120 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys 2016-04-13 18:21 - 2016-03-10 14:08 - 00126336 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys 2016-04-13 18:21 - 2016-03-10 14:08 - 00024448 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys 2016-04-13 18:12 - 2016-04-13 18:14 - 22851472 _____ (Malwarebytes ) C:\Users\Arina\Desktop\mbam-setup-2.2.1.1043.exe 2016-04-13 17:20 - 2016-04-13 17:20 - 03102720 _____ C:\Users\Arina\Desktop\AdwCleaner_5.108.exe 2016-04-13 17:18 - 2016-04-13 18:06 - 00000000 ____D C:\AdwCleaner 2016-04-12 19:33 - 2016-04-12 19:36 - 00176760 _____ C:\TDSSKiller.3.1.0.9_12.04.2016_19.33.01_log.txt 2016-04-12 19:30 - 2016-04-12 19:31 - 04727984 _____ (Kaspersky Lab ZAO) C:\Users\Arina\Desktop\tdsskiller.exe 2016-04-12 19:25 - 2016-04-13 19:13 - 00022920 _____ C:\Users\Arina\Desktop\Addition.txt 2016-04-12 19:24 - 2016-04-17 15:47 - 00012754 _____ C:\Users\Arina\Desktop\FRST.txt 2016-04-12 19:24 - 2016-04-17 15:47 - 00000000 ____D C:\FRST 2016-04-12 19:22 - 2016-04-12 19:22 - 01725952 _____ (Farbar) C:\Users\Arina\Desktop\FRST.exe 2016-04-12 19:19 - 2016-04-12 19:19 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus 2016-03-31 14:21 - 2016-03-31 14:21 - 00085086 _____ C:\Users\Arina\Downloads\Merkblatt_ELSTER_Einzureichende_Belege.pdf 2016-03-31 11:23 - 2016-03-31 11:23 - 00070674 _____ C:\Users\Arina\ESt2015_Düser_Ingo_und_Düser_Janin.elfo 2016-03-31 10:13 - 2016-03-31 10:13 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElsterFormular ==================== Ein Monat: Geänderte Dateien und Ordner ======== (Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.) 2016-04-17 15:47 - 2014-12-14 10:36 - 00000000 ____D C:\Users\Arina\AppData\Roaming\Spotify 2016-04-17 15:15 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 2016-04-17 15:15 - 2006-11-02 14:46 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 2016-04-17 15:01 - 2015-09-11 14:16 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2016-04-17 14:54 - 2014-09-18 19:14 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2016-04-17 11:20 - 2006-11-02 17:48 - 00651406 _____ C:\Windows\system32\perfh007.dat 2016-04-17 11:20 - 2006-11-02 17:48 - 00120112 _____ C:\Windows\system32\perfc007.dat 2016-04-17 11:20 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\inf 2016-04-17 11:20 - 2006-11-02 12:33 - 01488240 _____ C:\Windows\system32\PerfStringBackup.INI 2016-04-17 11:17 - 2014-12-14 10:38 - 00000000 ____D C:\Users\Arina\AppData\Local\Spotify 2016-04-17 11:16 - 2014-09-18 19:14 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2016-04-17 11:15 - 2006-11-02 15:00 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2016-04-17 11:14 - 2006-11-02 15:00 - 00032620 _____ C:\Windows\Tasks\SCHEDLGU.TXT 2016-04-13 17:01 - 2015-09-11 14:16 - 00797376 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe 2016-04-13 17:01 - 2015-09-11 14:16 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl 2016-04-12 19:35 - 2014-09-18 19:15 - 00001975 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk 2016-04-12 19:35 - 2014-09-18 19:15 - 00001963 _____ C:\Users\Public\Desktop\Google Chrome.lnk 2016-04-12 19:19 - 2015-11-09 17:18 - 00001952 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk 2016-04-12 19:19 - 2015-11-09 17:18 - 00000000 ____D C:\Program Files\McAfee Security Scan 2016-03-31 12:02 - 2015-11-30 15:37 - 00000000 ____D C:\Users\Arina\AppData\Roaming\PDF Architect 4 2016-03-31 11:23 - 2014-09-18 18:35 - 00000000 ____D C:\Users\Arina 2016-03-31 10:15 - 2014-10-18 16:32 - 00000000 ____D C:\ProgramData\elsterformular 2016-03-31 10:13 - 2015-03-11 10:58 - 00001022 _____ C:\Users\Public\Desktop\ElsterFormular.lnk 2016-03-31 10:13 - 2015-03-11 10:56 - 00000000 ____D C:\Program Files\ElsterFormular 2016-03-19 08:22 - 2014-09-18 19:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira 2016-03-19 08:17 - 2014-09-18 20:25 - 00136272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys 2016-03-19 08:17 - 2014-09-18 20:25 - 00109016 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys 2016-03-19 08:08 - 2015-10-18 17:11 - 00001003 _____ C:\Users\Public\Desktop\Avira Launcher.lnk 2016-03-19 08:08 - 2014-09-18 19:18 - 00000000 ____D C:\ProgramData\Package Cache ==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse ======= 2015-12-27 10:10 - 2015-12-27 10:10 - 0000036 ____H () C:\Users\Arina\AppData\Roaming\swk.ini 2015-12-27 07:24 - 2015-12-27 07:24 - 0004608 _____ () C:\Users\Arina\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini Einige Dateien in TEMP: ==================== C:\Users\Arina\AppData\Local\Temp\avgnt.exe ==================== Bamital & volsnap ================= (Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.) C:\Windows\explorer.exe => Datei ist digital signiert C:\Windows\system32\winlogon.exe => Datei ist digital signiert C:\Windows\system32\wininit.exe => Datei ist digital signiert C:\Windows\system32\svchost.exe => Datei ist digital signiert C:\Windows\system32\services.exe => Datei ist digital signiert C:\Windows\system32\User32.dll => Datei ist digital signiert C:\Windows\system32\userinit.exe => Datei ist digital signiert C:\Windows\system32\rpcss.dll => Datei ist digital signiert C:\Windows\system32\dnsapi.dll => Datei ist digital signiert C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert LastRegBack: 2016-04-17 11:21 ==================== Ende vom FRST.txt ============================ Addition Code:
ATTFilter Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x86) Version:10-04-2016 01
durchgeführt von Arina (2016-04-17 15:47:56)
Gestartet von C:\Users\Arina\Desktop
Microsoft® Windows Vista™ Ultimate (X86) (2014-09-18 16:26:24)
Start-Modus: Normal
==========================================================
==================== Konten: =============================
Administrator (S-1-5-21-1934108226-2973484334-1918421108-500 - Administrator - Disabled)
Arina (S-1-5-21-1934108226-2973484334-1918421108-1000 - Administrator - Enabled) => C:\Users\Arina
Gast (S-1-5-21-1934108226-2973484334-1918421108-501 - Limited - Disabled)
UpdatusUser (S-1-5-21-1934108226-2973484334-1918421108-1001 - Limited - Enabled) => C:\Users\UpdatusUser
==================== Sicherheits-Center ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)
==================== Installierte Programme ======================
(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)
Adobe Flash Player 21 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 21.0.0.213 - Adobe Systems Incorporated)
Adobe Flash Player ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 9.0.124.0 - Adobe Systems Incorporated)
Adobe Reader X (10.1.16) - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-AA1000000001}) (Version: 10.1.16 - Adobe Systems Incorporated)
Avira Antivirus (HKLM\...\Avira Antivirus) (Version: 15.0.16.282 - Avira Operations GmbH & Co. KG)
Avira Launcher (HKLM\...\{3b87484e-d70b-4b4f-ad59-2ae89571e2cf}) (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG)
Avira Launcher (Version: 1.1.56.9119 - Avira Operations GmbH & Co. KG) Hidden
CPUID CPU-Z 1.71.1 (HKLM\...\CPUID CPU-Z_is1) (Version: - )
Die Sims™ 3 (HKLM\...\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}) (Version: 1.67.2 - Electronic Arts)
ElsterFormular (HKLM\...\ElsterFormular) (Version: 17.2.19144 - Landesfinanzdirektion Thüringen)
EPSON-Drucker-Software (HKLM\...\EPSON Printer and Utilities) (Version: - SEIKO EPSON Corporation)
EVEREST Home Edition v2.20 (HKLM\...\EVEREST Home Edition_is1) (Version: 2.20 - Lavalys Inc)
Flyff (HKLM\...\{7E210E1C-52A1-40E3-817B-D504E9F64DFA}_is1) (Version: Flyff - WEBZEN Inc)
Google Chrome (HKLM\...\Google Chrome) (Version: 49.0.2623.112 - Google Inc.)
Google Update Helper (Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.11.309.1 - McAfee, Inc.)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft WSE 3.0 Runtime (HKLM\...\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}) (Version: 3.0.5305.0 - Microsoft Corp.)
NVIDIA Grafiktreiber 307.83 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 307.83 - NVIDIA Corporation)
NVIDIA Update 1.10.8 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update) (Version: 1.10.8 - NVIDIA Corporation)
OpenOffice 4.1.1 (HKLM\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)
Origin (HKLM\...\Origin) (Version: 8.4.1.210 - Electronic Arts, Inc.)
PDF Architect 4 (HKLM\...\PDF Architect 4) (Version: 4.0.26.25466 - pdfforge GmbH)
PDF Architect 4 Create Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 Edit Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDF Architect 4 View Module (Version: 4.0.9.25450 - pdfforge GmbH) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.2.1 - pdfforge)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.5350 - Realtek Semiconductor Corp.)
Scan2PDF 1.6 (HKLM\...\Scan2PDF_is1) (Version: - Koma-Code)
Spotify (HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\Spotify) (Version: 1.0.24.104.g92a22684 - Spotify AB)
VLC media player (HKLM\...\VLC media player) (Version: 2.2.1 - VideoLAN)
==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
Task: {2F7696E2-D699-48B2-A9DF-3D24D9E8497F} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-14] (Adobe Systems Incorporated)
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Task: {AA04316A-0BE7-4D2E-8EFD-78539AC3A464} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2016-04-13] (Adobe Systems Incorporated)
Task: {B03EC56A-B3FB-4B08-BB5C-6097EE4A477F} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
Task: {CDA1D71D-58A1-4FED-AF59-05E0FB42A62F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-08-30] (Google Inc.)
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
==================== Verknüpfungen =============================
(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)
==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============
2015-03-30 19:13 - 2016-03-31 09:58 - 47503472 _____ () C:\Users\Arina\AppData\Roaming\Spotify\libcef.dll
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)
==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)
==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)
IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxps://aeriagames.com
IE trusted site: HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\...\aeriagames.com -> hxxp://aeriagames.com
==================== Hosts Inhalt: ==========================
(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)
2006-11-02 12:23 - 2016-04-12 19:19 - 00000802 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 localhost
0.0.0.1 mssplus.mcafee.com
==================== Andere Bereiche ============================
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
HKU\S-1-5-21-1934108226-2973484334-1918421108-1000\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\Wallpaper\img24.jpg
HKU\S-1-5-21-1934108226-2973484334-1918421108-1001\Control Panel\Desktop\\Wallpaper -> C:\windows\Web\Wallpaper\img24.jpg
DNS Servers: 192.168.178.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1)
Windows Firewall ist deaktiviert.
==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==
(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)
==================== FirewallRules (Nicht auf der Ausnahmeliste) ===============
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
FirewallRules: [WinCollab-DFSR-In-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-DFSR-Out-TCP] => (Allow) %SystemRoot%\system32\dfsr.exe
FirewallRules: [WinCollab-In-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-TCP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-In-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [WinCollab-Out-UDP] => (Allow) %ProgramFiles%\Windows Collaboration\WinCollab.exe
FirewallRules: [{AED4CA55-F36F-4696-8030-42072527E089}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [{8FD5EDD5-2EC9-4A91-B69D-E4294F7C611C}] => (Allow) C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
FirewallRules: [TCP Query User{86990BA0-6650-4FED-B633-8028E2DA5570}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [UDP Query User{62266EBC-0996-43FB-B686-EA4DCA37A238}C:\users\arina\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\arina\appdata\roaming\spotify\spotify.exe
FirewallRules: [TCP Query User{13D26848-23E8-43D2-8CC0-B0D673799378}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [UDP Query User{966CCDF2-9846-4291-9C61-B3340B918A31}C:\program files\electronic arts\eadm\core.exe] => (Allow) C:\program files\electronic arts\eadm\core.exe
FirewallRules: [TCP Query User{EDD2E74D-BCEE-4DD6-BE17-CF5E3BEF3A21}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{0A1C4173-26ED-417C-AE1F-24E3EEE238CF}C:\users\arina\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\arina\appdata\local\akamai\netsession_win.exe
FirewallRules: [{37EF2582-4A4E-4F23-8911-9D5DB3B62DFA}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe
==================== Wiederherstellungspunkte =========================
22-01-2016 16:50:28 Geplanter Prüfpunkt
13-04-2016 17:55:07 Geplanter Prüfpunkt
13-04-2016 18:55:45 JRT Pre-Junkware Removal
14-04-2016 17:26:31 Geplanter Prüfpunkt
==================== Fehlerhafte Geräte im Gerätemanager =============
==================== Fehlereinträge in der Ereignisanzeige: =========================
Applikationsfehler:
==================
Error: (04/13/2016 05:03:57 PM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 eventHandler, Object sender, T eventArgs)
bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
bei System.ServicePro...
Error: (03/31/2016 10:15:30 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Fehlerhafte Anwendung installationsverwaltung.exe, Version 0.0.0.0, Zeitstempel 0x56e2ddf5, fehlerhaftes Modul Qt5WinExtras.dll, Version 5.2.1.0, Zeitstempel 0x5357c785, Ausnahmecode 0xc0000005, Fehleroffset 0x0000d2f5,
Prozess-ID 0x4d0, Anwendungsstartzeit installationsverwaltung.exe0.
Error: (01/21/2016 09:09:40 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm TS3W.exe, Version 0.2.0.209 arbeitet nicht mehr mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet "Lösungen für Probleme" in der Systemsteuerung, um nach weiteren Informationen über das Problem zu suchen.
Prozess-ID: 1248
Anfangszeit: 01d1541fa6060e63
Zeitpunkt der Beendigung: 712
Error: (01/21/2016 09:42:27 AM) (Source: Avira Service Host) (EventID: 0) (User: )
Description: Fehler beim Verarbeiten von Sitzungsänderung. System.ArgumentException: userSid
bei Avira.OE.ServiceHost.ServiceModelListStorage.GetServiceModel(String userSid, String serviceIdentifier)
bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.InitializeExtensionMonitors(Session userSession)
bei Avira.OE.BrowserExtensionConnector.BrowserExtensionConnector.OnLogOn(Object sender, SessionChangedEventArgs e)
bei System.EventHandler`1.Invoke(Object sender, TEventArgs e)
bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
bei Avira.OE.ServiceHost.SessionManager.OnSessionChange(Int32 sessionId, SessionChangeReason reason)
bei Avira.OE.ServiceHost.ServiceHost.OnSessionChange(Object sender, SessionChangeEventArgs args)
bei Avira.OE.WinCore.EventHandlerExtensions.SafeInvoke[T](EventHandler`1 evt, Object sender, T e)
bei Avira.OE.ServiceHost.WindowsService.OnSessionChange(SessionChangeDescription changeDescription)
bei System.ServiceProcess.ServiceBase.DeferredSessionCh...
Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ". The open file operation will fail with error -1023 (0xfffffc01).
Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ". The open file operation will fail with error -1023 (0xfffffc01).
Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ". The open file operation will fail with error -1023 (0xfffffc01).
Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ". The open file operation will fail with error -1023 (0xfffffc01).
Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ". The open file operation will fail with error -1023 (0xfffffc01).
Error: (01/21/2016 09:41:40 AM) (Source: ESENT) (EventID: 489) (User: )
Description: avguard (476) GaviDB_0: An attempt to open the file "C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavi3.db" for read only access failed with system error 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. ". The open file operation will fail with error -1023 (0xfffffc01).
Systemfehler:
=============
Error: (04/17/2016 11:13:15 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
Error: (04/13/2016 06:56:07 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Display Driver Service1
Error: (04/13/2016 06:06:49 PM) (Source: Service Control Manager) (EventID: 7032) (User: )
Description: 1Neustart des DienstsWindows-Suche%%1056
Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: NVIDIA Update Service Daemon1
Error: (04/13/2016 06:06:21 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows Presentation Foundation Font Cache 4.0.0.0101Neustart des Diensts
Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Windows-Suche1300001Neustart des Diensts
Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: PDF Architect 4 Creator1
Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Adobe Acrobat Update Service1
Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Druckwarteschlange1600001Neustart des Diensts
Error: (04/13/2016 06:06:19 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Softwarelizenzierung11200001Neustart des Diensts
CodeIntegrity:
===================================
Date: 2016-04-17 15:47:49.687
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 15:47:49.671
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 15:47:49.655
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 15:47:49.640
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 15:47:49.263
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 15:47:49.247
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 15:47:49.232
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 15:47:49.200
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mbamchameleon.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 10:47:57.538
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2016-04-17 10:47:57.522
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\mwac.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
==================== Memory info ===========================
Processor: Intel(R) Pentium(R) 4 CPU 3.00GHz
Prozentuale Nutzung des RAM: 54%
Installierter physikalischer RAM: 3070.63 MB
Verfügbarer physikalischer RAM: 1387.19 MB
Summe virtueller Speicher: 6329.72 MB
Verfügbarer virtueller Speicher: 4232.68 MB
==================== Laufwerke ================================
Drive c: () (Fixed) (Total:153.38 GB) (Free:69.97 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: (Sims3) (CDROM) (Total:5.56 GB) (Free:0 GB) UDF
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 153.4 GB) (Disk ID: 0A4B71BA)
Partition 1: (Active) - (Size=153.4 GB) - (Type=07 NTFS)
==================== Ende vom Addition.txt ============================
 |
|
18.04.2016, 13:13
| #2 | |||||||||||
| /// TB-Ausbilder   | Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben Servus,
__________________auch auf dem 2. Rechner kein Zbot zu sehen...  wenn du den ESET Online Scanner einmal die Woche nutzen möchtest, könntest du ihn natürlich auch auf dem Rechner lassen.  Zitat:
Reste entfernen Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter start
CloseProcesses:
C:\Dokumente und Einstellungen\Max\Eigene Dateien\Downloads\Everest Home Edition - CHIP-Installer.exe
C:\Users\Arina\Downloads\*CHIP-Installer.exe
C:\Users\Arina\Downloads\PDFCreator-2_2*.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\*CHIP-Installer.exe
C:\Windows.old.000\Documents and Settings\Arina\Downloads\PDFCreator-2_2*.exe
Task: {8F402515-240D-4674-A498-3CA75A9F0924} - System32\Tasks\{A205F047-9EDB-485E-9862-F744A1600E66} => pcalua.exe -a D:\Setup.exe -d D:\
Reboot:
end
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Die Fixlog von FRST gleich posten, da diese sonst mit DelFix (siehe weiter unten) automatisch entfernt wird! Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.  Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.  Cleanup: Alle Logs gepostet? Dann lade Dir bitte  DelFix herunter.
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.  Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Sofern du noch unentschieden bist, verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:
Microsoft Security Essentials (MSE) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE entschieden hast, brauchst du nicht extra MSE zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür. Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen. Optional:  Adblock Plus Kann Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren. NoScript Verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.Lade Software von einem sauberen Portal wie  .Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen:
Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...  und/oder das Forum mit einer kleinen Spende  unterstützen.  Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. |
|
| Themen zu Zbot/Zeus auf einem unserer Rechner (?) Telekom Schreiben |
| absoluter, android, angeblich, brief, experte, frage, fragen, fragt, gesuch, gesucht, google, hallo zusammen, hinweis, jahres, januar, konnte, laptop, ordnung, problem, rechner, seite, telekom, zbot, zbot., zusammen |
Hybrid-Darstellung
