Maleware durch Thunderbird?

Pionier · 18.05.2016, 15:30

Mein Virenscaner findet ständig, d.h. täglich, einen Trojaner beim Herunterladen von E-Mails.
Er heißt jedes Mal anders. Mal Trojan.JS.Agent mal mit LAC oder einer anderen Buchstabenkonstellation am Ende. Auch die Bezeichnung Trash kommt vor. Ich kann den Trojaner zwar in die Quarantäne verschieben, aber weder löschen, noch verhindern, dass er wiederkommt.

Zum anderen bekomme ich Mails mit Anhang von meiner eigenen E-Mail-Adresse und eine Menge Spam mit Anhang. Ich habe niemals wissentlich so einen Anhang geöffnet. Ich aktualisiere mein Virenprogramm täglich. Ich weiß nicht wie dieser Mist auf meinen PC gekommen ist und warum ich Mails von meiner Adresse bekomme ohne sie geschickt zu haben.

Ich habe nun breits eine Kaspersky-Disk erstellt und den scan zweimal durchgeführt, ohne Ergebnisse und ohne das Problem los zu sein.

Dann habe ich Malewarebytes Antimaleware herunter geladen. Auch ohne Ergebnis, desgleichen SpyBot.

Warum werde ich die Maleware nicht los und um was handelt es sich dabei eigentlich?
Soll ich Thunderbird gegen ein anderes Mail-Programm eintauschen oder hilft mir das gar nicht?

Beim Scan mit der Kaspersky-DVD wurde für die in Quarantäne verschobene Maleware immer angezeigt: Passwortgeschützt

Müsste ich die Maleware einmal nicht mit dem Virenprogramm in Quarantäne verschieben und dann das Ganze wiederholen?

Kann mir bitte jemand helfen?

Deathkid535 · 18.05.2016, 16:05

Mein Name ist Dennis und ich werde dir bei der Bereinigung helfen.

Bitte beachte, dass es ein paar Regeln gibt:

Bitte lies meine Posts komplett durch bevor du sie abarbeitest
Wenn ein Problem auftauchen sollte, unterbreche deine Arbeit, poste die entstandenen Logs und schildere dieses so genau wie möglich.
Bitte kein Crossposting
Installiere oder Deinstalliere keine Software ohne Aufforderung
Bitte verwende nur die Tools welche hier im Thread erwähnt werden
Antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen

Kannst du mir auch bitte ein Log vom Fund von Kaspersky posten?

Sollte ich nicht innerhalb von 48h antworten, schreibe mir eine PM!

Posten in CODE-Tags

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Los gehts!

Schritt # 1: FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt # 2: Bitte Posten

Die FRST.txt
Die Addition.txt

Pionier · 18.05.2016, 16:29

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:18-05-2016
durchgeführt von Elob_Mys (2016-05-18 17:23:42)
Gestartet von C:\Users\Elob_Mys\Downloads
Windows 8.1 (X64) (2016-02-16 17:28:42)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3804448238-3984901926-4278502133-500 - Administrator - Disabled)
Elob_Mys (S-1-5-21-3804448238-3984901926-4278502133-1001 - Administrator - Enabled) => C:\Users\Elob_Mys
Gast (S-1-5-21-3804448238-3984901926-4278502133-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: G DATA TOTAL PROTECTION (Enabled - Up to date) {545C8713-0744-B079-87F8-349A6D5C8CF0}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: G DATA TOTAL PROTECTION (Enabled - Up to date) {EF3D66F7-217E-BFF7-BD48-0FE816DBC64D}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: G*DATA Personal Firewall (Enabled) {6C670636-4D2B-B121-ACA7-9DAF938FCB8B}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Flash Player 21 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 21.0.0.242 - Adobe Systems Incorporated)
AutoUpdate (HKLM-x32\...\{18D10072035C4515918F7E37EAFAACFC}) (Version: 1.1 - )
DivX Codec (HKLM-x32\...\{7B63B2922B174135AFC0E1377DD81EC2}) (Version: 6.6.1 - DivX, Inc.)
G DATA TOTAL PROTECTION (HKLM-x32\...\{2A1FF304-D778-49F1-B340-E4BF4CDA2EB0}) (Version: 25.1.0.12 - G DATA Software AG)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 20.19.15.4352 - Intel Corporation)
LibreOffice 5.0 Help Pack (German) (HKLM-x32\...\{299C4C11-FB34-481B-BBB3-13117A066D20}) (Version: 5.0.5.2 - The Document Foundation)
LibreOffice 5.0.5.2 (HKLM-x32\...\{43D862C3-739D-4FF6-91C0-25612368CC81}) (Version: 5.0.5.2 - The Document Foundation)
Malwarebytes Anti-Malware Version 2.2.1.1043 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.2.1.1043 - Malwarebytes)
Media Go (HKLM-x32\...\{65256C0D-3FE7-4D2E-BB3E-53F1175481C8}) (Version: 3.0.403 - Sony)
Media Go Network Downloader (HKLM-x32\...\{C52148B9-19E0-433A-9422-3451B1BEE20F}) (Version: 1.6.01.0 - Sony)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version:  - Microsoft)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Home and Student 2007 (HKLM-x32\...\HOMESTUDENTR) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{ce085a78-074e-4823-8dc1-8a721b94b76d}) (Version: 12.0.21005.1 - Microsoft Corporation)
Mozilla Firefox 44.0.2 (x86 de) (HKLM-x32\...\Mozilla Firefox 44.0.2 (x86 de)) (Version: 44.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 38.5.1 - Mozilla)
Mozilla Thunderbird 38.7.2 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 38.7.2 (x86 de)) (Version: 38.7.2 - Mozilla)
Opera Stable 37.0.2178.43 (HKLM-x32\...\Opera 37.0.2178.43) (Version: 37.0.2178.43 - Opera Software)
PDF-Viewer (HKLM\...\{A278382D-4F1B-4D47-9885-8523F7261E8D}_is1) (Version: 2.5.316.1 - Tracker Software Products Ltd)
TVCenter (HKLM\...\{6036D468-B88E-4959-B773-1140E93201A0}) (Version: 6.4.6.942 - PCTV Systems)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version:  - Microsoft)
Update für Microsoft Office Excel 2007 Help (KB963678) (HKLM-x32\...\{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}) (Version:  - Microsoft)
Update für Microsoft Office Powerpoint 2007 Help (KB963669) (HKLM-x32\...\{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{EA160DA3-E9B5-4D03-A518-21D306665B96}) (Version:  - Microsoft)
Update für Microsoft Office Word 2007 Help (KB963665) (HKLM-x32\...\{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{38472199-D7B6-4833-A949-10E4EE6365A1}) (Version:  - Microsoft)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {6F910ADB-67AA-4FC0-B922-6ACD590703DC} - System32\Tasks\TrackerAutoUpdate => C:\Program Files\Tracker Software\Update\TrackerUpdate.exe [2016-01-18] (Tracker Software Products (Canada) Ltd.)
Task: {74642731-43F4-4803-9115-B4C433CDFDA5} - System32\Tasks\Opera scheduled Autoupdate 1455649700 => C:\Program Files (x86)\Opera\launcher.exe [2016-05-09] (Opera Software)
Task: {B821A649-891A-4511-8490-D65C6D8F1719} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_21_0_0_242_pepper.exe [2016-05-13] (Adobe Systems Incorporated)
Task: {B9F91111-E8E6-4BF1-9F20-8505F9A8A82F} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-05-13] (Adobe Systems Incorporated)
Task: {F56B705C-1D4D-4007-9829-5D4672DA92C9} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2016-05-12] (Microsoft Corporation)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_21_0_0_242_pepper.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\TrackerAutoUpdate.job => C:\Program Files\Tracker Software\Update\TrackerUpdate.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2016-02-11 05:43 - 2016-02-11 05:43 - 00387704 ____N () C:\Program Files (x86)\Common Files\G Data\AVKProxy\PktIcpt2x64.dll
2015-12-21 19:32 - 2015-12-21 19:32 - 00394208 _____ () C:\Windows\system32\igfxTray.exe

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2013-08-22 15:25 - 2013-08-22 15:25 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3804448238-3984901926-4278502133-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Elob_Mys\Pictures\Labyrinthe\Ponte Ponte.jpg
DNS Servers: Datenträger ist nicht mit dem Internet verbunden.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [{1DC75E19-F9C4-4404-B513-17C42887D9AF}] => (Allow) C:\Program Files (x86)\PCTV Systems\TVCenter\TVCenter.exe
FirewallRules: [{67D001D6-9359-443C-BCE8-DD88E23972E7}] => (Allow) C:\Program Files (x86)\Common Files\PCTV Systems\PVR\VideoControl.exe
FirewallRules: [{FB977D8D-E81A-47EA-8F13-8DEDE3E710D4}] => (Allow) C:\Program Files (x86)\Common Files\PCTV Systems\StreamingServer\StrmServer.exe
FirewallRules: [{122F97DD-FC03-4F1D-8353-33D40F965592}] => (Allow) LPort=1900
FirewallRules: [{2EA1160D-B1C9-44A6-A187-E9AD3043FF53}] => (Allow) LPort=2869
FirewallRules: [{A52302A3-F50C-4D1F-B725-D890E3980AFE}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{B7C7D51E-25BD-4C54-9383-16162E681A1F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

25-04-2016 08:14:20 Geplanter Prüfpunkt
04-05-2016 08:12:41 Geplanter Prüfpunkt
10-05-2016 09:11:05 Windows Update
16-05-2016 17:23:47 Windows Update

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: SM-Bus-Controller
Description: SM-Bus-Controller
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: USB2.0-CRW
Description: USB2.0-CRW
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (05/18/2016 02:08:38 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_PcaSvc, Version: 6.3.9600.17415, Zeitstempel: 0x54504177
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.3.9600.18233, Zeitstempel: 0x56bb4ebb
Ausnahmecode: 0xc0000008
Fehleroffset: 0x00000000000925fa
ID des fehlerhaften Prozesses: 0x424
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_PcaSvc0
Pfad der fehlerhaften Anwendung: svchost.exe_PcaSvc1
Pfad des fehlerhaften Moduls: svchost.exe_PcaSvc2
Berichtskennung: svchost.exe_PcaSvc3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_PcaSvc4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_PcaSvc5

Error: (05/18/2016 08:18:41 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: )
Description: 80070005

Error: (05/13/2016 04:46:31 PM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: )
Description: Das Volume "System-reserviert" wurde aufgrund eines Fehlers nicht optimiert: Falscher Parameter. (0x80070057)

Error: (05/13/2016 11:25:23 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_PcaSvc, Version: 6.3.9600.17415, Zeitstempel: 0x54504177
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.3.9600.18233, Zeitstempel: 0x56bb4ebb
Ausnahmecode: 0xc0000008
Fehleroffset: 0x00000000000925fa
ID des fehlerhaften Prozesses: 0x464
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_PcaSvc0
Pfad der fehlerhaften Anwendung: svchost.exe_PcaSvc1
Pfad des fehlerhaften Moduls: svchost.exe_PcaSvc2
Berichtskennung: svchost.exe_PcaSvc3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_PcaSvc4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_PcaSvc5

Error: (05/11/2016 07:45:22 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AVKTunerService.exe, Version: 25.1.16042.320, Zeitstempel: 0x56bc0c20
Name des fehlerhaften Moduls: AVKTunerObj.dll, Version: 25.1.16042.320, Zeitstempel: 0x56bc0c02
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0001784c
ID des fehlerhaften Prozesses: 0x16e8
Startzeit der fehlerhaften Anwendung: 0xAVKTunerService.exe0
Pfad der fehlerhaften Anwendung: AVKTunerService.exe1
Pfad des fehlerhaften Moduls: AVKTunerService.exe2
Berichtskennung: AVKTunerService.exe3
Vollständiger Name des fehlerhaften Pakets: AVKTunerService.exe4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: AVKTunerService.exe5

Error: (05/10/2016 08:59:05 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: AVKTunerService.exe, Version: 25.1.16042.320, Zeitstempel: 0x56bc0c20
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.3.9600.18194, Zeitstempel: 0x569515fc
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00049f03
ID des fehlerhaften Prozesses: 0x12ac
Startzeit der fehlerhaften Anwendung: 0xAVKTunerService.exe0
Pfad der fehlerhaften Anwendung: AVKTunerService.exe1
Pfad des fehlerhaften Moduls: AVKTunerService.exe2
Berichtskennung: AVKTunerService.exe3
Vollständiger Name des fehlerhaften Pakets: AVKTunerService.exe4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: AVKTunerService.exe5

Error: (05/10/2016 09:11:07 AM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: )
Description: Das Volume "System-reserviert" wurde aufgrund eines Fehlers nicht optimiert: Falscher Parameter. (0x80070057)

Error: (05/10/2016 09:02:09 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: )
Description: 80070005

Error: (05/09/2016 04:12:30 PM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: )
Description: 80070005

Error: (05/09/2016 10:20:40 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: )
Description: 80070005


Systemfehler:
=============
Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Automatische WLAN-Konfiguration" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Dienst "Diagnosesystemhost" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Überwachung verteilter Verknüpfungen (Client)" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Superfetch" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Programmkompatibilitäts-Assistent-Dienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Netzwerkverbindungen" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 100 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Netzwerkverbindungsbroker" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 5000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Gerätezuordnungsdienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 02:08:38 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Windows-Audio-Endpunkterstellung" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (05/18/2016 10:35:26 AM) (Source: DCOM) (EventID: 10010) (User: U)
Description: {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i3-5010U CPU @ 2.10GHz
Prozentuale Nutzung des RAM: 33%
Installierter physikalischer RAM: 4011.14 MB
Verfügbarer physikalischer RAM: 2674.19 MB
Summe virtueller Speicher: 4843.14 MB
Verfügbarer virtueller Speicher: 2951.24 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:232.54 GB) (Free:192.89 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: AD4E6625)
Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=232.5 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:18-05-2016
durchgeführt von Elob_Mys (Administrator) auf U (18-05-2016 17:23:19)
Gestartet von C:\Users\Elob_Mys\Downloads
Geladene Profile: Elob_Mys (Verfügbare Profile: Elob_Mys)
Platform: Windows 8.1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Opera)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\GDScan\GDScan.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\TotalProtection\AVK\AVKWCtlx64.exe
(Intel Corporation) C:\Windows\System32\igfxCUIService.exe
(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKProxy.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\TotalProtection\AVKBackup\AVKBackupService.exe
(G DATA Software) C:\Program Files (x86)\G DATA\TotalProtection\TSNxG\TSNxGService.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\TotalProtection\Firewall\GDFwSvcx64.exe
(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKBap64.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe
(Intel Corporation) C:\Windows\System32\igfxEM.exe
(Intel Corporation) C:\Windows\System32\igfxHK.exe
() C:\Windows\System32\igfxTray.exe
(PCTV Systems S.à r.l.) C:\Program Files (x86)\Common Files\PCTV Systems\RemoTerm\remoterm.exe
(Microsoft Corporation) C:\Windows\System32\GWX\GWX.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\TotalProtection\AVKTray\AVKTray.exe
(G DATA Software AG) C:\Program Files (x86)\G DATA\TotalProtection\Firewall\GDFirewallTray.exe
(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\AVKProxy\GDKBFltExe32.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\TotalProtection\AVK\AVKService.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\SysWOW64\dllhost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,c:\program files (x86)\g data\totalprotection\avkkid\avkcks.exe
HKU\S-1-5-21-3804448238-3984901926-4278502133-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-3804448238-3984901926-4278502133-1001\...\Run: [RemoTerm.exe] => C:\Program Files (x86)\Common Files\PCTV Systems\RemoTerm\RemoTerm.exe [227640 2013-02-20] (PCTV Systems S.à r.l.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Nach Updates suchen.lnk [2016-02-26]
ShortcutTarget: Nach Updates suchen.lnk -> C:\Program Files (x86)\Common Files\PCTV Systems\WebUpdater\WebUpdater.exe (PCTV Systems)
BootExecute: autocheck autochk * sdnclean64.exe

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{327A8630-08C5-4F8F-8D14-43D702AC5D82}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{8A2000AA-B2F9-438E-8478-004778F5930A}: [DhcpNameServer] 192.168.178.1

Internet Explorer:
==================

FireFox:
========
FF ProfilePath: C:\Users\Elob_Mys\AppData\Roaming\Mozilla\Firefox\Profiles\nglo2618.default
FF Plugin: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2016-01-18] (Tracker Software Products (Canada) Ltd.)
FF Plugin-x32: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll [2016-01-18] (Tracker Software Products (Canada) Ltd.)
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
FF Plugin HKU\S-1-5-21-3804448238-3984901926-4278502133-1001: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll [2016-01-18] (Tracker Software Products (Canada) Ltd.)
FF Plugin HKU\S-1-5-21-3804448238-3984901926-4278502133-1001: sony.com/MediaGoDetector -> C:\Program Files (x86)\Sony\Media Go\npMediaGoDetector.dll [2015-11-20] (Sony Network Entertainment International LLC)

Chrome: 
=======
CHR HKLM-x32\...\Chrome\Extension: [ihenkjeihefokohmemphikjnjbmegdik] - "C:\Program Files (x86)\Sony\Media Go\MediaGoDetector.crx" <nicht gefunden>

Opera: 
=======
OPR StartupUrls: "hxxp://www.heute.de/"
OPR Extension: (Amazon Assistant for Opera) - C:\Users\Elob_Mys\AppData\Roaming\Opera Software\Opera Stable\Extensions\mmmbddcnnndpbdflpccgcknaaabgldak [2016-04-08]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 AVKProxy; C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKProxy.exe [2790368 2016-02-18] (G Data Software AG)
R2 AVKService; C:\Program Files (x86)\G DATA\TotalProtection\AVK\AVKService.exe [970872 2016-02-11] (G Data Software AG)
R2 AVKWCtl; C:\Program Files (x86)\G DATA\TotalProtection\AVK\AVKWCtlx64.exe [4068592 2016-02-18] (G Data Software AG)
R2 GDBackupSvc; C:\Program Files (x86)\G DATA\TotalProtection\AVKBackup\AVKBackupService.exe [3985528 2016-02-16] (G Data Software AG)
R3 GDFwSvc; C:\Program Files (x86)\G DATA\TotalProtection\Firewall\GDFwSvcx64.exe [3219872 2016-03-04] (G Data Software AG)
R3 GDScan; C:\Program Files (x86)\Common Files\G Data\GDScan\GDScan.exe [791160 2016-02-18] (G Data Software AG)
S3 GDTunerSvc; C:\Program Files (x86)\G DATA\TotalProtection\AVKTuner\AVKTunerService.exe [2455160 2016-02-11] (G Data Software AG)
R2 igfxCUIService2.0.0.0; C:\Windows\system32\igfxCUIService.exe [365024 2015-12-21] (Intel Corporation)
R2 TSNxGService; C:\Program Files (x86)\G DATA\TotalProtection\TSNxG\TSNxGService.exe [255608 2014-07-01] (G DATA Software)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [346872 2013-08-22] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23840 2013-08-22] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 azvusb; C:\Windows\System32\drivers\azvusb.sys [54784 2009-08-24] (AzureWave Technologies, Inc.)
S0 ebdrv; C:\Windows\System32\drivers\evbda.sys [3357024 2013-08-22] (Broadcom Corporation)
R0 GDBehave; C:\Windows\System32\drivers\GDBehave.sys [160768 2016-02-24] (G Data Software AG)
S0 GDElam; C:\Windows\System32\DRIVERS\GDElam.sys [117904 2015-01-08] (G Data Software AG)
R1 GDKBB; C:\Windows\system32\drivers\GDKBB64.sys [37400 2016-02-24] (G Data Software AG)
R1 GDKBFlt; C:\Windows\system32\drivers\GDKBFlt64.sys [29720 2016-02-24] (G Data Software AG)
R1 GDMnIcpt; C:\Windows\system32\drivers\MiniIcpt.sys [246272 2016-02-24] (G Data Software AG)
R3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [92160 2016-02-24] (G Data Software AG)
R1 gdwfpcd; C:\Windows\System32\drivers\gdwfpcd64.sys [77848 2016-03-15] (G DATA Software AG)
R1 GRD; C:\Windows\system32\drivers\GRD.sys [106272 2016-02-17] (G Data Software)
R1 HookCentre; C:\Windows\system32\drivers\HookCentre.sys [134656 2016-02-24] (G Data Software AG)
R3 iaLPSS_GPIO; C:\Windows\System32\drivers\iaLPSS_GPIO.sys [35832 2014-06-03] (Intel Corporation)
R3 MEIx64; C:\Windows\system32\DRIVERS\TeeDriverx64.sys [129312 2014-09-30] (Intel Corporation)
R3 NETwNb64; C:\Windows\system32\DRIVERS\NETwbw02.sys [3589600 2013-09-25] (Intel Corporation)
R0 TS4NT; C:\Windows\System32\Drivers\TS4nt.sys [100352 2016-03-15] (G DATA Software AG)
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [34760 2013-08-22] (Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [265056 2013-08-22] (Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [124256 2013-08-22] (Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-05-18 17:23 - 2016-05-18 17:23 - 00009272 _____ C:\Users\Elob_Mys\Downloads\FRST.txt
2016-05-18 17:23 - 2016-05-18 17:23 - 00000000 ____D C:\FRST
2016-05-18 17:21 - 2016-05-18 17:21 - 00000924 _____ C:\Users\Elob_Mys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FRST64.lnk
2016-05-18 17:15 - 2016-05-18 17:15 - 02382336 _____ (Farbar) C:\Users\Elob_Mys\Downloads\FRST64.exe
2016-05-18 14:03 - 2016-05-18 14:03 - 00192216 _____ (Malwarebytes) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2016-05-18 14:03 - 2016-05-18 14:03 - 00001118 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2016-05-18 14:03 - 2016-05-18 14:03 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2016-05-18 14:03 - 2016-05-18 14:03 - 00000000 ____D C:\ProgramData\Malwarebytes
2016-05-18 14:03 - 2016-05-18 14:03 - 00000000 ____D C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2016-05-18 14:03 - 2016-03-10 14:09 - 00065408 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2016-05-18 14:03 - 2016-03-10 14:08 - 00140672 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2016-05-18 14:03 - 2016-03-10 14:08 - 00027008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2016-05-18 14:01 - 2016-05-18 14:02 - 22851472 _____ (Malwarebytes ) C:\Users\Elob_Mys\Downloads\mbam-setup-2.2.1.1043.exe
2016-05-18 12:58 - 2016-05-18 14:49 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2016-05-18 10:29 - 2016-05-18 10:43 - 288176128 _____ C:\Users\Elob_Mys\Downloads\kav_rescue_10.iso
2016-05-18 10:08 - 2016-05-18 10:08 - 00000085 _____ C:\Windows\wininit.ini
2016-05-18 09:38 - 2016-05-18 09:38 - 07539768 _____ C:\Users\Elob_Mys\Downloads\spybotsd_includes.exe
2016-05-13 11:25 - 2016-05-13 11:25 - 20381888 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe
2016-05-12 10:13 - 2016-04-06 23:13 - 00561960 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\cng.sys
2016-05-12 10:13 - 2016-04-06 23:13 - 00137976 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2016-05-12 10:13 - 2016-04-06 20:20 - 00201728 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2016-05-12 10:13 - 2016-04-06 20:19 - 00401920 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2016-05-12 10:13 - 2016-04-06 20:19 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys
2016-05-12 10:13 - 2016-04-06 19:49 - 00120384 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2016-05-12 10:13 - 2016-04-06 19:40 - 00445440 _____ (Microsoft Corporation) C:\Windows\system32\certcli.dll
2016-05-12 10:13 - 2016-04-06 18:57 - 01441792 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2016-05-12 10:13 - 2016-04-06 18:52 - 00432128 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2016-05-12 10:13 - 2016-04-06 18:20 - 00324096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certcli.dll
2016-05-12 10:13 - 2016-04-06 17:48 - 00357888 _____ (Microsoft Corporation) C:\Windows\SysWOW64\schannel.dll
2016-05-12 10:13 - 2016-03-31 08:50 - 01307328 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2016-05-12 10:13 - 2016-03-31 05:40 - 00747520 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rpcrt4.dll
2016-05-12 10:13 - 2016-02-27 20:28 - 00131584 _____ (Microsoft Corporation) C:\Windows\system32\rdpudd.dll
2016-05-12 10:13 - 2016-02-27 19:57 - 03273728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\rdpcore.dll
2016-05-12 10:13 - 2016-02-27 19:19 - 03820544 _____ (Microsoft Corporation) C:\Windows\system32\rdpcore.dll
2016-05-12 10:13 - 2016-02-27 18:32 - 03547648 _____ (Microsoft Corporation) C:\Windows\system32\rdpcorets.dll
2016-05-12 10:12 - 2016-04-22 22:54 - 25816576 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2016-05-12 10:12 - 2016-04-22 22:15 - 00571904 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2016-05-12 10:12 - 2016-04-22 22:14 - 02893312 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2016-05-12 10:12 - 2016-04-22 22:08 - 06052864 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2016-05-12 10:12 - 2016-04-22 22:06 - 20349952 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2016-05-12 10:12 - 2016-04-22 22:00 - 00817664 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2016-05-12 10:12 - 2016-04-22 21:35 - 00497152 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2016-05-12 10:12 - 2016-04-22 21:29 - 02285568 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2016-05-12 10:12 - 2016-04-22 21:24 - 01032704 _____ (Microsoft Corporation) C:\Windows\system32\inetcomm.dll
2016-05-12 10:12 - 2016-04-22 21:23 - 00663552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2016-05-12 10:12 - 2016-04-22 21:19 - 15414784 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2016-05-12 10:12 - 2016-04-22 21:17 - 00262144 _____ (Microsoft Corporation) C:\Windows\system32\webcheck.dll
2016-05-12 10:12 - 2016-04-22 21:14 - 00806400 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2016-05-12 10:12 - 2016-04-22 21:14 - 00725504 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2016-05-12 10:12 - 2016-04-22 21:14 - 00379392 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2016-05-12 10:12 - 2016-04-22 21:12 - 02131968 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2016-05-12 10:12 - 2016-04-22 20:58 - 04611072 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2016-05-12 10:12 - 2016-04-22 20:58 - 00880128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcomm.dll
2016-05-12 10:12 - 2016-04-22 20:54 - 13811200 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2016-05-12 10:12 - 2016-04-22 20:53 - 00230400 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webcheck.dll
2016-05-12 10:12 - 2016-04-22 20:52 - 02596864 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2016-05-12 10:12 - 2016-04-22 20:52 - 00693248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2016-05-12 10:12 - 2016-04-22 20:52 - 00330752 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iedkcs32.dll
2016-05-12 10:12 - 2016-04-22 20:51 - 02056192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2016-05-12 10:12 - 2016-04-22 20:40 - 01547264 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2016-05-12 10:12 - 2016-04-22 20:29 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2016-05-12 10:12 - 2016-04-22 20:27 - 02121216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2016-05-12 10:12 - 2016-04-22 20:24 - 01311744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2016-05-12 10:12 - 2016-04-22 20:23 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2016-05-12 10:12 - 2016-04-10 09:48 - 00738096 _____ (Microsoft Corporation) C:\Windows\system32\d3d10level9.dll
2016-05-12 10:12 - 2016-04-10 09:48 - 00613624 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3d10level9.dll
2016-05-12 10:12 - 2016-04-10 06:21 - 01763376 _____ (Microsoft Corporation) C:\Windows\system32\WindowsCodecs.dll
2016-05-12 10:12 - 2016-04-10 06:21 - 01489088 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2016-05-12 10:12 - 2016-04-09 23:58 - 00534016 _____ (Microsoft Corporation) C:\Windows\system32\Windows.UI.dll
2016-05-12 10:12 - 2016-04-09 23:50 - 00375296 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Windows.UI.dll
2016-05-12 10:12 - 2016-03-29 03:42 - 07446368 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2016-05-12 10:12 - 2016-03-10 19:03 - 00030208 _____ (Microsoft Corporation) C:\Windows\system32\dsparse.dll
2016-05-12 10:12 - 2016-03-10 18:48 - 00024064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\dsparse.dll
2016-05-12 10:12 - 2016-03-05 19:44 - 00148480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\shacct.dll
2016-05-12 10:12 - 2016-03-05 19:04 - 00192512 _____ (Microsoft Corporation) C:\Windows\system32\shacct.dll
2016-05-12 10:08 - 2016-04-11 08:21 - 00074584 ____C (Microsoft Corporation) C:\Windows\system32\Drivers\volmgr.sys
2016-05-12 10:08 - 2016-04-10 07:37 - 01549144 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dxgkrnl.sys
2016-05-12 10:08 - 2016-04-10 06:14 - 01380600 _____ (Microsoft Corporation) C:\Windows\system32\gdi32.dll
2016-05-12 10:08 - 2016-04-10 01:29 - 04169216 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2016-05-12 10:08 - 2016-04-10 00:07 - 01097728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\gdi32.dll
2016-05-12 10:08 - 2016-03-16 03:58 - 00442712 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2016-05-12 10:08 - 2016-03-16 03:58 - 00332632 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msv1_0.dll
2016-05-12 10:08 - 2016-03-12 02:49 - 02466136 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2016-05-12 10:08 - 2016-03-12 02:47 - 00160160 _____ (Microsoft Corporation) C:\Windows\system32\IPHLPAPI.DLL
2016-05-12 10:08 - 2016-03-12 02:47 - 00121912 _____ (Microsoft Corporation) C:\Windows\SysWOW64\IPHLPAPI.DLL
2016-05-12 10:08 - 2016-03-10 18:55 - 00510976 _____ (Microsoft Corporation) C:\Windows\system32\webio.dll
2016-05-12 10:08 - 2016-03-10 18:52 - 00186880 _____ (Microsoft Corporation) C:\Windows\system32\dpapisrv.dll
2016-05-12 10:08 - 2016-03-10 18:42 - 00413696 _____ (Microsoft Corporation) C:\Windows\SysWOW64\webio.dll
2016-05-12 10:07 - 2016-03-14 18:50 - 00316760 ____C (Microsoft Corporation) C:\Windows\system32\Drivers\volsnap.sys
2016-05-11 07:39 - 2016-05-11 07:39 - 00262144 _____ C:\Windows\SysWOW64\5-18
2016-05-10 20:57 - 2016-05-11 07:39 - 00000000 __SHD C:\#GDATA.Recovery.Data#
2016-05-10 20:57 - 2016-05-10 20:57 - 00262144 _____ C:\Windows\SysWOW64\18
2016-05-10 20:42 - 2016-05-10 20:42 - 00000000 ____D C:\Users\Elob_Mys\AppData\Roaming\Macromedia
2016-05-03 18:02 - 2016-05-03 18:03 - 00000000 ____D C:\Users\Elob_Mys\AppData\Roaming\Amazon Cloud Drive
2016-05-03 18:02 - 2016-05-03 18:02 - 00000000 ____D C:\Users\Elob_Mys\AppData\Local\CEF
2016-05-03 18:01 - 2016-05-03 18:01 - 00870584 _____ (Amazon) C:\Users\Elob_Mys\Downloads\AmazonCloudDriveSetup.exe

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-05-18 17:12 - 2013-08-22 15:25 - 00262144 ___SH C:\Windows\system32\config\ELAM
2016-05-18 16:25 - 2016-03-28 12:31 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-05-18 16:07 - 2016-02-17 20:21 - 00003914 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{D2029CD0-BB55-415A-8536-696C36E33902}
2016-05-18 14:25 - 2016-02-16 19:33 - 00003600 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3804448238-3984901926-4278502133-1001
2016-05-18 12:54 - 2016-02-16 19:30 - 01776918 _____ C:\Windows\system32\PerfStringBackup.INI
2016-05-18 12:54 - 2013-08-23 01:24 - 00765582 _____ C:\Windows\system32\perfh007.dat
2016-05-18 12:54 - 2013-08-23 01:24 - 00159366 _____ C:\Windows\system32\perfc007.dat
2016-05-18 12:54 - 2013-08-22 15:36 - 00000000 ____D C:\Windows\Inf
2016-05-18 12:50 - 2016-02-16 20:03 - 00000180 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2016-05-18 12:50 - 2016-02-16 20:03 - 00000000 __SHD C:\Users\Elob_Mys\IntelGraphicsProfiles
2016-05-18 12:50 - 2013-08-22 16:45 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-05-18 10:56 - 2013-08-22 15:25 - 00262144 ___SH C:\Windows\system32\config\BBI
2016-05-18 10:08 - 2016-02-16 21:05 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2016-05-18 10:08 - 2016-02-16 21:05 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2016-05-17 13:16 - 2016-02-26 10:37 - 00000000 ____D C:\Windows\system32\appraiser
2016-05-17 13:16 - 2013-08-22 17:20 - 00000000 ____D C:\Windows\CbsTemp
2016-05-16 18:26 - 2013-08-22 17:36 - 00000000 ____D C:\Windows\rescache
2016-05-14 11:46 - 2016-02-22 18:44 - 00000946 _____ C:\Windows\Tasks\Adobe Flash Player PPAPI Notifier.job
2016-05-13 11:25 - 2016-03-28 12:31 - 00003772 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2016-05-13 11:25 - 2016-02-22 18:44 - 00003902 _____ C:\Windows\System32\Tasks\Adobe Flash Player PPAPI Notifier
2016-05-13 10:34 - 2013-08-22 16:44 - 00439376 _____ C:\Windows\system32\FNTCACHE.DAT
2016-05-13 10:29 - 2016-02-16 21:08 - 00003854 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1455649700
2016-05-13 10:29 - 2016-02-16 21:08 - 00001063 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
2016-05-13 10:29 - 2016-02-16 21:08 - 00000000 ____D C:\Program Files (x86)\Opera
2016-05-12 11:03 - 2013-08-23 01:26 - 00000000 ____D C:\Program Files\Windows Journal
2016-05-12 11:02 - 2016-02-16 20:43 - 00000000 ____D C:\Windows\system32\MRT
2016-05-12 10:59 - 2016-02-16 20:43 - 139319312 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2016-05-12 10:07 - 2016-04-13 16:13 - 01737088 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2016-05-12 10:07 - 2016-04-13 16:13 - 01663184 _____ (Microsoft Corporation) C:\Windows\system32\winload.efi
2016-05-12 10:07 - 2016-04-13 16:13 - 01523208 _____ (Microsoft Corporation) C:\Windows\system32\winload.exe
2016-05-12 10:07 - 2016-04-13 16:13 - 01501488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2016-05-12 10:07 - 2016-04-13 16:13 - 01490120 _____ (Microsoft Corporation) C:\Windows\system32\winresume.efi
2016-05-12 10:07 - 2016-04-13 16:13 - 01358952 _____ (Microsoft Corporation) C:\Windows\system32\winresume.exe
2016-05-12 10:07 - 2016-04-13 16:13 - 00246784 _____ (Microsoft Corporation) C:\Windows\system32\microsoft-windows-system-events.dll
2016-05-11 22:08 - 2013-08-22 17:38 - 00829944 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-05-11 22:08 - 2013-08-22 17:38 - 00176632 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2016-05-10 20:57 - 2016-02-17 21:15 - 00000000 ____D C:\Windows\Minidump
2016-05-10 20:49 - 2016-02-26 10:37 - 00000000 ___SD C:\Windows\SysWOW64\GWX
2016-05-10 20:49 - 2016-02-26 10:37 - 00000000 ___SD C:\Windows\system32\GWX
2016-05-04 12:34 - 2016-03-05 20:00 - 00000000 ____D C:\Users\Elob_Mys\Documents\Ute schreiben
2016-04-23 12:56 - 2016-03-07 17:39 - 00000000 ____D C:\Users\Elob_Mys\Documents\Frankfurter Straße
2016-04-18 09:40 - 2016-02-16 21:01 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2016-02-16 19:49 - 2016-02-16 19:49 - 0000000 _____ () C:\Users\Elob_Mys\AppData\Roaming\gdfw.log
2016-02-16 19:49 - 2016-02-16 19:49 - 0000779 _____ () C:\Users\Elob_Mys\AppData\Roaming\gdscan.log

Einige Dateien in TEMP:
====================
C:\Users\Elob_Mys\AppData\Local\Temp\CloudDriveInstaller.exe


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-05-16 18:10

==================== Ende von FRST.txt ============================

Kaspersky hatte ja keine Ergebnisse, die ich hätte kopieren und schicken können

Deathkid535 · 18.05.2016, 16:50

Hi,

also ich seh da jetzt mal nichts.

Du solltest auf jeden Fall das Passwort von deiner Mail-Adresse ändern. Wenn das nicht hilft bist du wohl Opfer von Mail-Spoofing, da kannst du leider nichts dagegen tun.

Die angemeckerte Datei ist sicher irgendeine E-Mail von Thunderbird. Welche das ist, wird eher schwer herauszufinden. Du solltest auf jeden Fall mal den Spam-Ordner leeren.

Pionier · 18.05.2016, 17:48

Hallo,
vielleicht kannst du mit dem Pdf ja mehr anfangen. Bitte sieh es dir doch nochmal an.

Mein Kennwort habe ich seit Februar schon mehrmals geändert. Ich bin verzweifelt.
Was macht diese Maleware mit dem PC?

hxxp://www.trojaner-board.de/images/editor/attach.gif

Deathkid535 · 18.05.2016, 18:04

Hi,

ich seh auf dem Bild leider nicht die ganzen Pfade. Aber wie gesagt vermute ich, dass da einfach nur E-Mails angemeckert werden. Aktive Malware hab ich nicht sehen können. Solange du nicht blind Anhänge öffnest und ausführst dürfte dir eigentlich nichts passieren.

Pionier · 19.05.2016, 07:21

Hallo,

dann vielen Dank für deine Mühe.
Darf ich trotzdem noch fragen: Wäre es sinnvoll ein anderes Mailprogramm zu nutzen? Oder liegt das Problem schon beim Telekommunikationsunternehmen?

Deathkid535 · 19.05.2016, 13:34

Naja das Programm hat da nicht viel damit zu tun, es lädt ja nur die Emails runter.

Mailspoofing ist ärgerlich, aber ich weiss nicht wirklich, ob da Anbieter resistenter sind als andere.

Pionier · 19.05.2016, 17:44

Vielen Dank nochmal

18.05.2016, 18:04	#6
Deathkid535 /// Malwareteam	Maleware durch Thunderbird? Hi, ich seh auf dem Bild leider nicht die ganzen Pfade. Aber wie gesagt vermute ich, dass da einfach nur E-Mails angemeckert werden. Aktive Malware hab ich nicht sehen können. Solange du nicht blind Anhänge öffnest und ausführst dürfte dir eigentlich nichts passieren. __________________ --> Maleware durch Thunderbird?

19.05.2016, 13:34	#8
Deathkid535 /// Malwareteam	Maleware durch Thunderbird? Naja das Programm hat da nicht viel damit zu tun, es lädt ja nur die Emails runter. Mailspoofing ist ärgerlich, aber ich weiss nicht wirklich, ob da Anbieter resistenter sind als andere. __________________ mfg, Dennis Lob, Kritik oder Wünsche Unterstütze uns mit einer kleinen Spende

Maleware durch Thunderbird?

Plagegeister aller Art und deren Bekämpfung: Maleware durch Thunderbird?