Polizeitrojaner mit weissem Bildschirm
 

Ein Hilferuf an die Experten! Beim Download von Videos erscheint urplötzlich die offenbar
weitherum bekannte Warn-Erpressungswebsite, die meinen win7/64 PC in Geiselhaft nimmt.
Nur noch weisser Bildschirm und Mauszeiger. Habe auf meinem 2. PC eifrig gegoogelt und den Trojaner-Board.de-Rettungsanker entdeckt. Dank einem unglaublich klar und verständlich geschriebenen Beitrag im Forum von Leo /aharonov, habe ich als Neuling Mut gekriegt, das Hilfethema anzupacken und den frst64 scan durchzuführen, dessen Länge einem ja schon mulmig stimmt. Hier ist er:


Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 22-06-2013 02
Ran by SYSTEM on 21-06-2013 17:45:05
Running from K:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey [1436224 2010-11-30] (Microsoft Corporation)
HKLM\...\Run: [Acronis Scheduler2 Service] "C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" [462400 2011-02-12] (Acronis)
HKLM\...\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s [6548112 2000-01-01] (Realtek Semiconductor)
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-04-21] (Apple Inc.)
HKLM-x32\...\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [49208 2010-06-09] (Hewlett-Packard)
HKLM-x32\...\Run: [] [x]
HKLM-x32\...\Run: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe [450560 2012-11-13] ()
HKLM-x32\...\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1263512 2012-11-01] ()
HKLM-x32\...\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe" -osboot [295072 2012-12-17] (RealNetworks, Inc.)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [adm_tray.exe] C:\Program Files (x86)\Acronis\DriveMonitor\adm_tray.exe [470120 2011-02-24] ()
HKLM-x32\...\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2013-05-01] (Apple Inc.)
HKLM-x32\...\Run: [Steganos HotKeys] "C:\Program Files (x86)\Steganos Safe 14\SteganosHotKeyService.exe" [103424 2013-05-16] (Steganos Software GmbH)
HKLM-x32\...\Run: [SAFE14 File Redirection Starter] "C:\Program Files (x86)\Steganos Safe 14\fredirstarter.exe" [17408 2013-05-16] (Steganos Software GmbH)
HKLM-x32\...\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [152392 2013-05-31] (Apple Inc.)
HKLM-x32\...\Run: [hpqSRMon] C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard)
HKU\Alfred\...\Run: [ApplePhotoStreams] C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59720 2013-04-05] (Apple Inc.)
HKU\Alfred\...\Run: [SAFE14 Browser Monitor] "C:\Program Files (x86)\Steganos Safe 14\SteganosBrowserMonitor.exe" [73216 2013-05-16] (Steganos Software GmbH)
HKU\Alfred\...\Winlogon: [Shell] explorer.exe,C:\Users\Alfred\AppData\Roaming\skype.dat [94208 2011-11-17] () <==== ATTENTION
HKU\Default\...\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun [x]
HKU\Default User\...\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun [x]
Startup: C:\Users\Alfred\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HP SimpleSave Monitor.lnk
ShortcutTarget: HP SimpleSave Monitor.lnk -> (No File)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
ShortcutTarget: Adobe Gamma Loader.lnk -> C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)

==================== Services (Whitelisted) =================

S2 BackupService; C:\Users\Alfred\AppData\Roaming\HP SimpleSave Application\uUACTokenSvc.exe [83512 2010-07-01] (ArcSoft, Inc.)
S2 LPDSVC; C:\Windows\system32\lpdsvc.dll [45568 2009-07-14] (Microsoft Corporation)
S2 MsMpSvc; c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe [12784 2010-11-11] (Microsoft Corporation)
S3 NisSrv; c:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe [282616 2010-11-11] (Microsoft Corporation)
S2 RealNetworks Downloader Resolver Service; C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] ()
S2 VMLiteService; C:\VXP\VMLiteService.exe [426600 2010-08-21] (VMLite, Inc.)

==================== Drivers (Whitelisted) ====================

S1 AsIO; C:\Windows\SysWow64\drivers\AsIO.sys [13368 2009-04-06] ()
S1 AsIO; C:\Windows\SysWow64\drivers\AsIO.sys [13368 2009-04-06] ()
S1 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [188928 2010-10-24] (Microsoft Corporation)
S3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [15416 2009-05-14] ()
S3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [72064 2010-10-24] (Microsoft Corporation)
S1 SLEE_18_DRIVER; C:\Windows\Sleen1864.sys [108648 2012-07-24] (Softwareentwicklung Remus - ArchiCrypt - )
S1 SLEE_18_DRIVER; C:\Windows\Sleen1864.sys [108648 2012-07-24] (Softwareentwicklung Remus - ArchiCrypt - )
S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2013-06-21] ()
S1 VBoxDrv; C:\Windows\System32\drivers\VBoxDrv.sys [204328 2010-08-11] (VMLite, Inc.)
S3 VBoxNetAdp; C:\Windows\System32\DRIVERS\VBoxNetAdp.sys [146216 2010-08-11] (VMLite, Inc.)
S3 VBoxNetFlt; C:\Windows\System32\DRIVERS\VBoxNetFlt.sys [165800 2010-08-11] (VMLite, Inc.)
S1 vmlitedrv; C:\Windows\System32\drivers\vmlitedrv.sys [14952 2010-08-03] (VMLite, Inc.)
S3 vmlitestor; C:\Windows\System32\DRIVERS\vmlitestor.sys [177768 2010-08-11] (VMLite, Inc.)
S3 VMLiteUSB; C:\Windows\System32\Drivers\VMLiteUSB.sys [150120 2010-08-11] (VMLite, Inc.)
S1 VMLiteUSBMon; C:\Windows\System32\drivers\vmliteusbmon.sys [135272 2010-08-18] (VMLite, Inc.)
S3 ALSysIO; \??\C:\Users\Alfred\AppData\Local\Temp\ALSysIO64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-21 17:44 - 2013-06-21 17:44 - 00000000 ____D C:\FRST
2013-06-21 14:23 - 2013-06-21 14:27 - 00006512 ____A C:\Windows\IE10_main.log
2013-06-21 14:15 - 2013-06-21 16:15 - 00000004 ____A C:\Users\Alfred\AppData\Roaming\skype.ini
2013-06-21 11:01 - 2013-06-21 11:01 - 00000000 ____D C:\Users\Alfred\Desktop\VIDEOS BACKUP VON Y AUF T oder TT
2013-06-21 06:55 - 2013-06-21 06:58 - 00000000 ____D C:\Users\Alfred\Documents\WALTI PAUL
2013-06-20 10:40 - 2013-06-20 10:40 - 00000000 ____D C:\Users\Alfred\Documents\Id Isaraporn
2013-06-20 08:47 - 2013-06-20 20:46 - 00000322 ____A C:\Windows\Tasks\WebReg HP Deskjet D4300 series.job
2013-06-20 08:44 - 2013-06-20 08:44 - 00000000 ____D C:\ProgramData\Hewlett-Packard
2013-06-20 08:37 - 2013-06-20 08:37 - 00002173 ____A C:\Users\Public\Desktop\HP Photosmart Essential 3.5.lnk
2013-06-20 08:37 - 2013-06-20 08:37 - 00001195 ____A C:\Users\Public\Desktop\Shop für HP Zubehör.lnk
2013-06-20 08:37 - 2013-06-20 08:37 - 00000000 ____D C:\ProgramData\HP Product Assistant
2013-06-20 08:36 - 2013-06-20 08:44 - 00176156 ____A C:\Windows\hphins27.dat
2013-06-20 08:36 - 2009-10-08 02:56 - 00000349 ____N C:\Windows\hphmdl27.dat
2013-06-20 08:23 - 2013-06-20 08:25 - 132666488 ____A C:\Users\Alfred\Downloads\DJ_SF_03_D4300_NonNet_Full_Win_WW_130_140.exe
2013-06-20 06:52 - 2013-06-20 06:52 - 03812764 ____A C:\Users\Alfred\Documents\Lia2013.potm
2013-06-17 19:13 - 2013-06-17 19:13 - 14711864 ____A (Abelssoft ) C:\Users\Alfred\Downloads\checkdrive.exe
2013-06-16 19:25 - 2013-06-16 19:25 - 00001353 ____A C:\Users\Alfred\Desktop\1.DIVERSES AKTUELL - Verknüpfung.lnk
2013-06-16 08:17 - 2013-06-21 16:14 - 00001635 ____A C:\Windows\setupact.log
2013-06-16 08:17 - 2013-06-16 08:17 - 00000000 ____A C:\Windows\setuperr.log
2013-06-15 20:27 - 2013-06-21 15:48 - 00000380 ____A C:\Windows\Tasks\RNUpgradeHelperLogonPrompt_Alfred.job
2013-06-15 20:27 - 2013-06-19 19:34 - 00000374 ____A C:\Windows\Tasks\ReclaimerUpdateFiles_Alfred.job
2013-06-15 20:27 - 2013-06-18 22:39 - 00000370 ____A C:\Windows\Tasks\ReclaimerUpdateXML_Alfred.job
2013-06-12 22:49 - 2013-05-17 05:05 - 17824768 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 22:49 - 2013-05-17 04:27 - 10926080 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 22:49 - 2013-05-17 04:09 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 22:49 - 2013-05-17 04:02 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 22:49 - 2013-05-17 04:02 - 01346560 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 22:49 - 2013-05-17 04:01 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-06-12 22:49 - 2013-05-17 04:00 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-06-12 22:49 - 2013-05-17 03:58 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 22:49 - 2013-05-17 03:56 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-06-12 22:49 - 2013-05-17 03:56 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-06-12 22:49 - 2013-05-17 03:55 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 22:49 - 2013-05-17 03:54 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 22:49 - 2013-05-17 03:53 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 22:49 - 2013-05-17 03:51 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 22:49 - 2013-05-17 03:51 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-06-12 22:49 - 2013-05-17 03:46 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 22:49 - 2013-05-17 00:08 - 12329984 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-06-12 22:49 - 2013-05-16 23:49 - 09738752 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-06-12 22:49 - 2013-05-16 23:39 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-06-12 22:49 - 2013-05-16 23:28 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-06-12 22:49 - 2013-05-16 23:28 - 01104384 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-06-12 22:49 - 2013-05-16 23:27 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-06-12 22:49 - 2013-05-16 23:26 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-06-12 22:49 - 2013-05-16 23:23 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-06-12 22:49 - 2013-05-16 23:21 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-06-12 22:49 - 2013-05-16 23:21 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-06-12 22:49 - 2013-05-16 23:20 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-06-12 22:49 - 2013-05-16 23:19 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-06-12 22:49 - 2013-05-16 23:17 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-06-12 22:49 - 2013-05-16 23:17 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-06-12 22:49 - 2013-05-16 23:16 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-06-12 22:49 - 2013-05-16 23:12 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-06-12 11:06 - 2013-05-13 06:51 - 01464320 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 11:06 - 2013-05-13 06:51 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 11:06 - 2013-05-13 06:51 - 00139776 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 11:06 - 2013-05-13 06:50 - 00052224 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 11:06 - 2013-05-13 05:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2013-06-12 11:06 - 2013-05-13 05:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2013-06-12 11:06 - 2013-05-13 05:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2013-06-12 11:06 - 2013-05-13 04:43 - 01192448 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 11:06 - 2013-05-13 04:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certutil.exe
2013-06-12 11:06 - 2013-05-13 04:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certenc.dll
2013-06-12 11:06 - 2013-05-10 06:49 - 00030720 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 11:06 - 2013-05-10 04:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptdlg.dll
2013-06-12 11:06 - 2013-05-08 07:39 - 01910632 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 11:06 - 2013-04-26 06:51 - 00751104 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 11:06 - 2013-04-26 05:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-06-11 05:50 - 2013-06-11 05:50 - 00001329 ____A C:\Users\Alfred\Desktop\aerofly Flug Simulator 2013 - Verknüpfung.lnk
2013-06-10 16:44 - 2013-06-10 16:44 - 35049768 ____A (IPACS ) C:\Users\Alfred\Downloads\aerofly-fs-update-win-v1000911.exe
2013-06-10 16:14 - 2013-06-10 16:16 - 00000000 ____D C:\Users\Alfred\Documents\aerofly Flug Simulator 2013
2013-06-10 16:13 - 2013-06-10 16:13 - 00001259 ____A C:\Users\Public\Desktop\aerofly Flug Simulator 2013.lnk
2013-06-10 16:06 - 2013-06-10 16:46 - 00000000 ____D C:\Program Files (x86)\aerofly Flug Simulator 2013
2013-06-08 21:53 - 2013-06-08 21:53 - 00001789 ____A C:\Users\Alfred\Documents\iTunes.lnk
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\Program Files\iTunes
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\Program Files\iPod
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-06-07 12:54 - 2013-06-07 12:54 - 00000000 ____D C:\Users\Alfred\Documents\aerofly FS
2013-06-05 11:49 - 2013-06-05 11:49 - 00000603 ____A C:\Users\Alfred\Documents\fleurop mahnung.txt
2013-06-05 10:04 - 2013-06-05 11:48 - 00000000 ____D C:\Users\Alfred\Documents\Florian
2013-06-04 22:40 - 2013-06-04 22:40 - 00302375 ____A C:\Users\Alfred\Downloads\13_bar5_fs9.zip
2013-06-04 22:38 - 2013-06-04 22:39 - 03597186 ____A C:\Users\Alfred\Downloads\48_addon_largoet.zip
2013-06-04 07:59 - 2013-06-04 07:59 - 00001245 ____A C:\Users\Alfred\Desktop\PASSWÖRTER ex gamerPC - Verknüpfung.lnk
2013-05-30 09:07 - 2013-05-30 09:07 - 00142743 ____A C:\Users\Alfred\Downloads\stealthy-2.5-fx.zip
2013-05-30 08:29 - 2013-05-30 08:29 - 00001194 ____A C:\Users\Alfred\Documents\burkafrauen.txt
2013-05-29 21:23 - 2013-05-30 08:13 - 00000000 ____D C:\Users\Alfred\Documents\CAMPER VAN
2013-05-29 20:16 - 2013-05-29 20:18 - 05779825 ____A C:\Users\Alfred\Downloads\LFLU_LFHE_X2.zip
2013-05-27 16:16 - 2013-05-27 16:16 - 00001045 ____A C:\Users\Public\Desktop\Steganos Safe.lnk
2013-05-27 16:16 - 2013-05-27 16:16 - 00000000 ____D C:\Users\Alfred\Desktop\Steganos Updates
2013-05-26 16:43 - 2013-05-26 16:43 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-05-26 16:43 - 2013-05-26 16:43 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-05-26 09:48 - 2013-05-26 09:48 - 00000000 ____D C:\Program Files (x86)\QuickTime
2013-05-25 19:54 - 2013-06-05 10:07 - 00000000 ____D C:\Users\Alfred\Documents\DAILYTALK
2013-05-25 19:54 - 2013-05-25 19:55 - 00000000 ____D C:\Users\Alfred\Documents\ZATTOO
2013-05-25 19:31 - 2011-05-13 13:16 - 00493056 ____A ( datenhaus GmbH) C:\Windows\SysWOW64\dhRichClient3.dll
2013-05-25 19:31 - 2011-03-25 21:42 - 00338432 ____A C:\Windows\SysWOW64\sqlite36_engine.dll
2013-05-25 19:29 - 2013-05-25 19:29 - 00618048 ____A (www.download-sponsor.de) C:\Users\Alfred\Downloads\tor-browser-2.3.25-8_de-Downloader.exe
2013-05-25 18:17 - 2013-05-25 18:17 - 02690664 ____A (Steganos Software GmbH) C:\Users\Alfred\Downloads\sosde_netzwelt.exe
2013-05-25 17:57 - 2013-05-25 17:57 - 06990832 ____A C:\Users\Alfred\Downloads\HSS-2.25-install-anchorfree-232-expatshield.exe
2013-05-25 10:09 - 2013-05-25 10:09 - 00000828 ____A C:\Users\Public\Desktop\CCleaner.lnk
2013-05-25 10:08 - 2013-05-25 10:08 - 04346816 ____A (Piriform Ltd) C:\Users\Alfred\Downloads\ccsetup401.exe
2013-05-25 09:45 - 2013-05-25 09:47 - 00000000 ____D C:\Users\Alfred\AppData\Roaming\Steganos VPN
2013-05-25 09:44 - 2013-05-25 18:18 - 14034768 ____A (Steganos Software GmbH) C:\Users\Alfred\Downloads\sosint.exe
2013-05-25 09:43 - 2013-05-25 09:43 - 02690664 ____A (Steganos Software GmbH) C:\Users\Alfred\Downloads\sosint103.exe
2013-05-25 09:11 - 2013-05-25 09:11 - 00052628 ____A C:\Users\Alfred\Documents\SecureSwiss VPN & Proxy Account kaufen VPN Bestellung.htm
2013-05-25 09:11 - 2013-05-25 09:11 - 00000000 ____D C:\Users\Alfred\Documents\SecureSwiss VPN & Proxy Account kaufen VPN Bestellung-Dateien
2013-05-25 09:04 - 2013-05-25 09:04 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-05-23 11:35 - 2013-05-23 11:35 - 00000000 ____D C:\Windows\SysWOW64\RTCOM
2013-05-23 11:35 - 2013-05-23 11:35 - 00000000 ____D C:\Program Files\Realtek
2013-05-23 11:34 - 2000-01-01 01:00 - 08363864 ____A (Waves Audio Ltd.) C:\Windows\System32\MaxxAudioRealtek.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 07163744 ____A (Dolby Laboratories) C:\Windows\System32\R4EEP64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 05096448 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RCoRes64.dat
2013-05-23 11:34 - 2000-01-01 01:00 - 04065296 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\Drivers\RTKVHD64.sys
2013-05-23 11:34 - 2000-01-01 01:00 - 03615888 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RtkAPO64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 02674320 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RtPgEx64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 02605400 ____A (Waves Audio Ltd.) C:\Windows\System32\WavesGUILib.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 02533952 ____A (Fortemedia Corporation) C:\Windows\System32\FMAPO64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 02131288 ____A (Waves Audio Ltd.) C:\Windows\System32\MaxxAudioEQ.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 01756264 ____A (DTS) C:\Windows\System32\DTSS2SpeakerDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 01568360 ____A (DTS) C:\Windows\System32\DTSS2HeadphoneDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 01560168 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RTSnMg64.cpl
2013-05-23 11:34 - 2000-01-01 01:00 - 01486952 ____A (DTS) C:\Windows\System32\DTSBoostDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 01361336 ____A (TOSHIBA Corporation) C:\Windows\System32\tosade.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 01345368 ____A (Waves Audio Ltd.) C:\Windows\System32\MaxxAudioRealtek264.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 01262696 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RTCOM64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 01015640 ____A (Waves Audio Ltd.) C:\Windows\System32\MaxxAudioAPOShell64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00869520 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RtkApi64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00836544 ____A (TOSHIBA Corporation) C:\Windows\System32\tadefxapo264.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00728680 ____A (DTS) C:\Windows\System32\DTSBassEnhancementDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00712296 ____A (DTS) C:\Windows\System32\DTSSymmetryDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00693352 ____A (DTS) C:\Windows\System32\DTSVoiceClarityDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00603984 ____A (Knowles Acoustics ) C:\Windows\System32\KAAPORT64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00537456 ____A (DTS) C:\Windows\System32\DTSU2PLFX64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00524656 ____A (DTS) C:\Windows\System32\DTSU2PGFX64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00518896 ____A (SRS Labs, Inc.) C:\Windows\System32\SRSTSX64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00491112 ____A (DTS) C:\Windows\System32\DTSNeoPCDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00449392 ____A (DTS) C:\Windows\System32\DTSU2PREC64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00433504 ____A (Dolby Laboratories) C:\Windows\System32\R4EED64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00432744 ____A (DTS) C:\Windows\System32\DTSLimiterDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00428648 ____A (DTS) C:\Windows\System32\DTSGainCompensatorDLL64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00396632 ____A (Waves Audio Ltd.) C:\Windows\System32\MaxxVolumeSDAPO.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00375128 ____A (Dolby Laboratories, Inc.) C:\Windows\System32\RTEEP64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00341336 ____A (Waves Audio Ltd.) C:\Windows\System32\MaxxAudioAPO30.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00331880 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RtlCPAPI64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00318808 ____A (Waves Audio Ltd.) C:\Windows\System32\MaxxAudioAPO20.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00310104 ____A (Dolby Laboratories, Inc.) C:\Windows\System32\RP3DHT64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00310104 ____A (Dolby Laboratories, Inc.) C:\Windows\System32\RP3DAA64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00293889 ____A C:\Windows\System32\Drivers\RTAIODAT.DAT
2013-05-23 11:34 - 2000-01-01 01:00 - 00242792 ____A (DTS) C:\Windows\System32\DTSLFXAPO64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00242792 ____A (DTS) C:\Windows\System32\DTSGFXAPO64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00241768 ____A (DTS) C:\Windows\System32\DTSGFXAPONS64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00221024 ____A (Synopsys, Inc.) C:\Windows\System32\SFNHK64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00220776 ____A (Sony Corporation) C:\Windows\System32\SFSS_APO.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00211184 ____A (SRS Labs, Inc.) C:\Windows\System32\SRSTSH64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00204120 ____A (Dolby Laboratories, Inc.) C:\Windows\System32\RTEED64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00202336 ____A (Andrea Electronics Corporation) C:\Windows\System32\AERTAC64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00198896 ____A (SRS Labs, Inc.) C:\Windows\System32\SRSHP64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00155888 ____A (SRS Labs, Inc.) C:\Windows\System32\SRSWOW64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00149608 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RtkCfg64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00148416 ____A (TOSHIBA Corporation) C:\Windows\System32\tadefxapo.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00141152 ____A (Dolby Laboratories) C:\Windows\System32\R4EEL64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00123744 ____A (Dolby Laboratories) C:\Windows\System32\R4EEA64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00108640 ____A (Andrea Electronics Corporation) C:\Windows\System32\AERTAR64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00105616 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RCoInstII64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00101208 ____A (Dolby Laboratories, Inc.) C:\Windows\System32\RTEEL64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00081248 ____A (Synopsys, Inc.) C:\Windows\System32\SFCOM64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00078688 ____A (Synopsys, Inc.) C:\Windows\System32\SFAPO64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00078680 ____A (Dolby Laboratories, Inc.) C:\Windows\System32\RTEEG64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00074592 ____A (Dolby Laboratories) C:\Windows\System32\R4EEG64A.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00074064 ____A (Virage Logic Corporation / Sonic Focus) C:\Windows\SysWOW64\SFCOM.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00065944 ____A (TOSHIBA CORPORATION.) C:\Windows\System32\tepeqapo64.dll
2013-05-23 11:34 - 2000-01-01 01:00 - 00014952 ____A (Realtek Semiconductor Corp.) C:\Windows\System32\RtkCoLDR64.dll
2013-05-23 11:30 - 2000-01-01 01:00 - 01706640 ____A (Realtek Semiconductor Corp.) C:\Windows\RtlExUpd.dll
2013-05-23 11:26 - 2013-05-23 11:26 - 00000000 ____D C:\Program Files (x86)\Intel
2013-05-23 11:26 - 2000-01-01 01:00 - 00053248 ____A (Windows XP Bundled build C-Centric Single User) C:\Windows\SysWOW64\CSVer.dll
2013-05-23 11:25 - 2013-05-23 11:25 - 00000000 ____D C:\Intel
2013-05-23 11:23 - 2013-05-23 11:34 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2013-05-23 11:23 - 2013-05-23 11:34 - 00000000 ____D C:\Program Files (x86)\Realtek
2013-05-23 11:23 - 2000-01-01 01:00 - 00553576 ____A (Realtek ) C:\Windows\System32\Drivers\Rt64win7.sys
2013-05-23 11:23 - 2000-01-01 01:00 - 00107552 ____A (Realtek Semiconductor Corporation) C:\Windows\System32\RTNUninst64.dll
2013-05-23 11:23 - 2000-01-01 01:00 - 00074272 ____A C:\Windows\System32\RtNicProp64.dll
2013-05-23 09:08 - 2013-05-23 09:08 - 00649536 ____A (SlimWare Utilities, Inc.) C:\Users\Alfred\Downloads\slimcomputer-setup.exe
2013-05-23 09:08 - 2013-05-23 09:08 - 00002469 ____A C:\Users\Public\Desktop\SlimComputer.lnk
2013-05-23 09:08 - 2013-05-23 09:08 - 00000000 ____D C:\Program Files (x86)\SlimComputer
2013-05-23 09:06 - 2013-06-21 15:48 - 00016152 ____A C:\Windows\System32\Drivers\SWDUMon.sys
2013-05-23 09:06 - 2013-06-21 15:48 - 00000412 ____A C:\Windows\Tasks\SlimDrivers Startup.job
2013-05-23 09:06 - 2013-05-23 09:08 - 00000000 ____D C:\Users\Public\Documents\Downloaded Installers
2013-05-23 09:06 - 2013-05-23 09:08 - 00000000 ____D C:\Users\Alfred\AppData\Local\SlimWare Utilities Inc
2013-05-23 09:04 - 2013-05-23 09:04 - 00670016 ____A (SlimWare Utilities, Inc.) C:\Users\Alfred\Downloads\slimdrivers-29setup.exe
2013-05-23 08:55 - 2013-05-23 08:55 - 05642856 ____A (Uniblue Systems Ltd ) C:\Users\Alfred\Downloads\driverscanner.exe
2013-05-22 22:12 - 2013-05-30 08:29 - 00001194 ____A C:\Users\Alfred\Documents\x.txt

==================== One Month Modified Files and Folders =======

2013-06-21 17:44 - 2013-06-21 17:44 - 00000000 ____D C:\FRST
2013-06-21 16:15 - 2013-06-21 14:15 - 00000004 ____A C:\Users\Alfred\AppData\Roaming\skype.ini
2013-06-21 16:14 - 2013-06-16 08:17 - 00001635 ____A C:\Windows\setupact.log
2013-06-21 15:55 - 2009-07-14 05:45 - 00021872 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-21 15:55 - 2009-07-14 05:45 - 00021872 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-21 15:52 - 2012-10-25 13:53 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-06-21 15:52 - 2011-04-12 08:43 - 00698720 ____A C:\Windows\System32\perfh007.dat
2013-06-21 15:52 - 2011-04-12 08:43 - 00148916 ____A C:\Windows\System32\perfc007.dat
2013-06-21 15:52 - 2009-07-14 06:13 - 01619012 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-21 15:51 - 2012-10-18 14:41 - 01502860 ____A C:\Windows\WindowsUpdate.log
2013-06-21 15:48 - 2013-06-15 20:27 - 00000380 ____A C:\Windows\Tasks\RNUpgradeHelperLogonPrompt_Alfred.job
2013-06-21 15:48 - 2013-05-23 09:06 - 00016152 ____A C:\Windows\System32\Drivers\SWDUMon.sys
2013-06-21 15:48 - 2013-05-23 09:06 - 00000412 ____A C:\Windows\Tasks\SlimDrivers Startup.job
2013-06-21 15:48 - 2013-04-10 03:17 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-06-21 15:47 - 2012-10-25 13:53 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-06-21 15:47 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-21 15:31 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-06-21 14:43 - 2012-10-18 15:36 - 00000000 ____D C:\Windows\Panther
2013-06-21 14:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\zh-HK
2013-06-21 14:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\tr-TR
2013-06-21 14:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\zh-HK
2013-06-21 14:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\tr-TR
2013-06-21 14:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\PolicyDefinitions
2013-06-21 14:27 - 2013-06-21 14:23 - 00006512 ____A C:\Windows\IE10_main.log
2013-06-21 13:35 - 2012-10-25 21:13 - 00000000 ____D C:\Users\Alfred\dwhelper
2013-06-21 11:01 - 2013-06-21 11:01 - 00000000 ____D C:\Users\Alfred\Desktop\VIDEOS BACKUP VON Y AUF T oder TT
2013-06-21 10:40 - 2012-10-21 14:24 - 00000000 ____D C:\Users\Alfred\AppData\Roaming\vlc
2013-06-21 06:58 - 2013-06-21 06:55 - 00000000 ____D C:\Users\Alfred\Documents\WALTI PAUL
2013-06-21 06:54 - 2013-04-23 16:56 - 00000000 ___RD C:\Users\Alfred\Desktop\PIX.VIDEO.INVENTAR.DM.PC
2013-06-20 20:46 - 2013-06-20 08:47 - 00000322 ____A C:\Windows\Tasks\WebReg HP Deskjet D4300 series.job
2013-06-20 20:46 - 2009-07-14 05:45 - 02232176 ____A C:\Windows\System32\FNTCACHE.DAT
2013-06-20 10:40 - 2013-06-20 10:40 - 00000000 ____D C:\Users\Alfred\Documents\Id Isaraporn
2013-06-20 09:30 - 2012-11-01 11:26 - 00000000 ____D C:\Users\Alfred\Documents\PG
2013-06-20 08:47 - 2012-10-19 02:23 - 00067824 ____A C:\Users\Alfred\AppData\Local\GDIPFONTCACHEV1.DAT
2013-06-20 08:44 - 2013-06-20 08:44 - 00000000 ____D C:\ProgramData\Hewlett-Packard
2013-06-20 08:44 - 2013-06-20 08:36 - 00176156 ____A C:\Windows\hphins27.dat
2013-06-20 08:44 - 2012-10-29 14:14 - 00000000 ____D C:\Users\Alfred\AppData\Roaming\HP
2013-06-20 08:44 - 2012-10-29 14:04 - 00001167 ____A C:\ProgramData\hpzinstall.log
2013-06-20 08:44 - 2012-10-29 14:04 - 00000000 ____D C:\ProgramData\HP
2013-06-20 08:37 - 2013-06-20 08:37 - 00002173 ____A C:\Users\Public\Desktop\HP Photosmart Essential 3.5.lnk
2013-06-20 08:37 - 2013-06-20 08:37 - 00001195 ____A C:\Users\Public\Desktop\Shop für HP Zubehör.lnk
2013-06-20 08:37 - 2013-06-20 08:37 - 00000000 ____D C:\ProgramData\HP Product Assistant
2013-06-20 08:37 - 2012-10-29 14:04 - 00000000 ____D C:\Program Files (x86)\HP
2013-06-20 08:25 - 2013-06-20 08:23 - 132666488 ____A C:\Users\Alfred\Downloads\DJ_SF_03_D4300_NonNet_Full_Win_WW_130_140.exe
2013-06-20 06:52 - 2013-06-20 06:52 - 03812764 ____A C:\Users\Alfred\Documents\Lia2013.potm
2013-06-19 19:34 - 2013-06-15 20:27 - 00000374 ____A C:\Windows\Tasks\ReclaimerUpdateFiles_Alfred.job
2013-06-18 22:39 - 2013-06-15 20:27 - 00000370 ____A C:\Windows\Tasks\ReclaimerUpdateXML_Alfred.job
2013-06-17 19:13 - 2013-06-17 19:13 - 14711864 ____A (Abelssoft ) C:\Users\Alfred\Downloads\checkdrive.exe
2013-06-16 19:25 - 2013-06-16 19:25 - 00001353 ____A C:\Users\Alfred\Desktop\1.DIVERSES AKTUELL - Verknüpfung.lnk
2013-06-16 19:20 - 2013-05-19 11:30 - 00000000 ____D C:\Users\Alfred\Documents\PSORIASIS
2013-06-16 08:17 - 2013-06-16 08:17 - 00000000 ____A C:\Windows\setuperr.log
2013-06-15 10:41 - 2012-11-16 12:57 - 00000000 ____D C:\Users\Alfred\Documents\AVIATION
2013-06-15 08:15 - 2012-10-27 14:40 - 00000000 ____D C:\Users\Alfred\AppData\Roaming\uTorrent
2013-06-12 22:48 - 2012-10-18 16:36 - 75825640 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-12 15:48 - 2012-10-22 07:20 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-12 15:48 - 2012-10-22 07:20 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-11 16:54 - 2009-07-14 06:08 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-11 05:50 - 2013-06-11 05:50 - 00001329 ____A C:\Users\Alfred\Desktop\aerofly Flug Simulator 2013 - Verknüpfung.lnk
2013-06-10 19:14 - 2012-11-08 12:12 - 00082944 __ASH C:\Users\Alfred\Thumbs.db
2013-06-10 16:46 - 2013-06-10 16:06 - 00000000 ____D C:\Program Files (x86)\aerofly Flug Simulator 2013
2013-06-10 16:44 - 2013-06-10 16:44 - 35049768 ____A (IPACS ) C:\Users\Alfred\Downloads\aerofly-fs-update-win-v1000911.exe
2013-06-10 16:16 - 2013-06-10 16:14 - 00000000 ____D C:\Users\Alfred\Documents\aerofly Flug Simulator 2013
2013-06-10 16:13 - 2013-06-10 16:13 - 00001259 ____A C:\Users\Public\Desktop\aerofly Flug Simulator 2013.lnk
2013-06-08 21:53 - 2013-06-08 21:53 - 00001789 ____A C:\Users\Alfred\Documents\iTunes.lnk
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\Program Files\iTunes
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\Program Files\iPod
2013-06-08 21:53 - 2013-06-08 21:53 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-06-07 12:54 - 2013-06-07 12:54 - 00000000 ____D C:\Users\Alfred\Documents\aerofly FS
2013-06-07 11:49 - 2012-11-16 12:56 - 00000000 ____D C:\Users\Alfred\Documents\HUMOR KURIOSES
2013-06-07 07:56 - 2012-11-22 19:01 - 00000000 ____D C:\Users\Alfred\Documents\KONTAKTE
2013-06-05 11:49 - 2013-06-05 11:49 - 00000603 ____A C:\Users\Alfred\Documents\fleurop mahnung.txt
2013-06-05 11:48 - 2013-06-05 10:04 - 00000000 ____D C:\Users\Alfred\Documents\Florian
2013-06-05 10:07 - 2013-05-25 19:54 - 00000000 ____D C:\Users\Alfred\Documents\DAILYTALK
2013-06-04 22:40 - 2013-06-04 22:40 - 00302375 ____A C:\Users\Alfred\Downloads\13_bar5_fs9.zip
2013-06-04 22:39 - 2013-06-04 22:38 - 03597186 ____A C:\Users\Alfred\Downloads\48_addon_largoet.zip
2013-06-04 19:43 - 2012-11-01 10:06 - 00477696 __ASH C:\Users\Alfred\Documents\Thumbs.db
2013-06-04 07:59 - 2013-06-04 07:59 - 00001245 ____A C:\Users\Alfred\Desktop\PASSWÖRTER ex gamerPC - Verknüpfung.lnk
2013-06-04 07:59 - 2013-04-17 16:33 - 00000000 ____D C:\Users\Alfred\Documents\PW
2013-05-30 09:07 - 2013-05-30 09:07 - 00142743 ____A C:\Users\Alfred\Downloads\stealthy-2.5-fx.zip
2013-05-30 08:29 - 2013-05-30 08:29 - 00001194 ____A C:\Users\Alfred\Documents\burkafrauen.txt
2013-05-30 08:29 - 2013-05-22 22:12 - 00001194 ____A C:\Users\Alfred\Documents\x.txt
2013-05-30 08:20 - 2013-04-14 08:40 - 00000000 ____D C:\Users\Alfred\Documents\MEDIA
2013-05-30 08:14 - 2013-04-14 09:06 - 00000000 ____D C:\Users\Alfred\Documents\AVIATION pdfs
2013-05-30 08:13 - 2013-05-29 21:23 - 00000000 ____D C:\Users\Alfred\Documents\CAMPER VAN
2013-05-29 20:18 - 2013-05-29 20:16 - 05779825 ____A C:\Users\Alfred\Downloads\LFLU_LFHE_X2.zip
2013-05-28 14:03 - 2012-10-23 15:51 - 00000000 ____D C:\Users\Alfred\VMLites
2013-05-27 16:16 - 2013-05-27 16:16 - 00001045 ____A C:\Users\Public\Desktop\Steganos Safe.lnk
2013-05-27 16:16 - 2013-05-27 16:16 - 00000000 ____D C:\Users\Alfred\Desktop\Steganos Updates
2013-05-27 16:16 - 2012-11-25 18:17 - 00000000 ____D C:\Program Files (x86)\Steganos Safe 14
2013-05-27 09:05 - 2012-10-25 13:04 - 00000000 ___HD C:\Users\Alfred\AppData\Roaming\User Recycle Bin.{645FF040-5081-101B-9F08-00AA002F954E}
2013-05-27 09:05 - 2012-10-25 13:02 - 00000000 ____D C:\Users\Alfred\AppData\Roaming\SEDE
2013-05-27 09:05 - 2012-10-18 15:07 - 00000000 ____D C:\Users\Alfred\AppData\Local\VirtualStore
2013-05-26 16:43 - 2013-05-26 16:43 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-05-26 16:43 - 2013-05-26 16:43 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-05-26 12:45 - 2012-10-18 17:16 - 00000000 ____D C:\Program Files (x86)\Google
2013-05-26 09:48 - 2013-05-26 09:48 - 00000000 ____D C:\Program Files (x86)\QuickTime
2013-05-25 19:55 - 2013-05-25 19:54 - 00000000 ____D C:\Users\Alfred\Documents\ZATTOO
2013-05-25 19:52 - 2012-10-25 13:05 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-05-25 19:29 - 2013-05-25 19:29 - 00618048 ____A (www.download-sponsor.de) C:\Users\Alfred\Downloads\tor-browser-2.3.25-8_de-Downloader.exe
2013-05-25 18:18 - 2013-05-25 09:44 - 14034768 ____A (Steganos Software GmbH) C:\Users\Alfred\Downloads\sosint.exe
2013-05-25 18:17 - 2013-05-25 18:17 - 02690664 ____A (Steganos Software GmbH) C:\Users\Alfred\Downloads\sosde_netzwelt.exe
2013-05-25 17:57 - 2013-05-25 17:57 - 06990832 ____A C:\Users\Alfred\Downloads\HSS-2.25-install-anchorfree-232-expatshield.exe
2013-05-25 10:09 - 2013-05-25 10:09 - 00000828 ____A C:\Users\Public\Desktop\CCleaner.lnk
2013-05-25 10:09 - 2012-10-27 16:27 - 00000000 ____D C:\Program Files\CCleaner
2013-05-25 10:08 - 2013-05-25 10:08 - 04346816 ____A (Piriform Ltd) C:\Users\Alfred\Downloads\ccsetup401.exe
2013-05-25 09:47 - 2013-05-25 09:45 - 00000000 ____D C:\Users\Alfred\AppData\Roaming\Steganos VPN
2013-05-25 09:45 - 2012-11-25 18:09 - 00000000 ____D C:\Users\Alfred\AppData\Roaming\Steganos
2013-05-25 09:43 - 2013-05-25 09:43 - 02690664 ____A (Steganos Software GmbH) C:\Users\Alfred\Downloads\sosint103.exe
2013-05-25 09:11 - 2013-05-25 09:11 - 00052628 ____A C:\Users\Alfred\Documents\SecureSwiss VPN & Proxy Account kaufen VPN Bestellung.htm
2013-05-25 09:11 - 2013-05-25 09:11 - 00000000 ____D C:\Users\Alfred\Documents\SecureSwiss VPN & Proxy Account kaufen VPN Bestellung-Dateien
2013-05-25 09:04 - 2013-05-25 09:04 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-05-23 11:35 - 2013-05-23 11:35 - 00000000 ____D C:\Windows\SysWOW64\RTCOM
2013-05-23 11:35 - 2013-05-23 11:35 - 00000000 ____D C:\Program Files\Realtek
2013-05-23 11:34 - 2013-05-23 11:23 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2013-05-23 11:34 - 2013-05-23 11:23 - 00000000 ____D C:\Program Files (x86)\Realtek
2013-05-23 11:26 - 2013-05-23 11:26 - 00000000 ____D C:\Program Files (x86)\Intel
2013-05-23 11:25 - 2013-05-23 11:25 - 00000000 ____D C:\Intel
2013-05-23 09:08 - 2013-05-23 09:08 - 00649536 ____A (SlimWare Utilities, Inc.) C:\Users\Alfred\Downloads\slimcomputer-setup.exe
2013-05-23 09:08 - 2013-05-23 09:08 - 00002469 ____A C:\Users\Public\Desktop\SlimComputer.lnk
2013-05-23 09:08 - 2013-05-23 09:08 - 00000000 ____D C:\Program Files (x86)\SlimComputer
2013-05-23 09:08 - 2013-05-23 09:06 - 00000000 ____D C:\Users\Public\Documents\Downloaded Installers
2013-05-23 09:08 - 2013-05-23 09:06 - 00000000 ____D C:\Users\Alfred\AppData\Local\SlimWare Utilities Inc
2013-05-23 09:04 - 2013-05-23 09:04 - 00670016 ____A (SlimWare Utilities, Inc.) C:\Users\Alfred\Downloads\slimdrivers-29setup.exe
2013-05-23 08:55 - 2013-05-23 08:55 - 05642856 ____A (Uniblue Systems Ltd ) C:\Users\Alfred\Downloads\driverscanner.exe

Files to move or delete:
====================
C:\Users\Alfred\AppData\Roaming\skype.dat
C:\Users\Alfred\AppData\Roaming\skype.ini

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-06-12 22:48:07
Restore point made on: 2013-06-16 15:25:58
Restore point made on: 2013-06-20 07:58:31
Restore point made on: 2013-06-21 14:23:09

==================== Memory info ===========================

Percentage of memory in use: 9%
Total physical RAM: 8119.05 MB
Available physical RAM: 7312.42 MB
Total Pagefile: 8117.25 MB
Available Pagefile: 7306.81 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (System) (Fixed) (Total:465.66 GB) (Free:132 GB) NTFS (Disk=0 Partition=2)
Drive d: (Daten2) (Fixed) (Total:232.88 GB) (Free:25.13 GB) NTFS (Disk=1 Partition=1)
Drive k: () (Removable) (Total:0.47 GB) (Free:0.47 GB) FAT (Disk=6 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: C4CD6244)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=466 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 233 GB) (Disk ID: D20CD20C)
Partition 1: (Active) - (Size=233 GB) - (Type=07 NTFS)

========================================================
Disk: 6 (Size: 486 MB) (Disk ID: 00A6E71C)
Partition 1: (Active) - (Size=486 MB) - (Type=06)


LastRegBack: 2013-06-13 08:19

==================== End Of Log ============================

Schon zum voraus ganz herzlichen Dank für eine gelegentliche Rückmeldung.
Beste Grüsse
Anatol

Hallo und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.


Los geht's:

Kannst du nach folgendem Fix den Rechner wieder normal starten?


Schritt 1

Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.

• Schliesse den USB Stick wieder an den infizierten Rechner an.
• Starte deinen Rechner erneut in die Reparaturoptionen.
• Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.

Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von FRST

Hallo Leo,
Vielen Dank für superschnelle Antwort!
Erstes Zwischenproblem
1. Habe Deinen Schritt 1 ausgeführt. Der stick steckt im Rechner bereit, jetzt aber Problem:
Ich starte den infiszierten Rechner auf (mit F8) aber ich komme nicht mehr auf den Befehl "Computer reparieren". Erhalte nach F8 zuerst einmal die blaue Bildfläche mit der Aufforderung "Please select bootdevice"
mit 3 Auswahlmöglichkeiten:
a)CDRROM:PO-TSSSTcorpDVD+/-RW TS-H
b)HDD:P1-SAMSUNG HD502HJ
c)HDD:P2-HDS722525VLSA80
d)USB Flash Disk
Beim 1. Mal ging es, jetzt plötzlich nicht mehr!!??
Wie soll ich vorgehen?
Herzlichen Dank und Gruss
Anatol

Hi,

Dann drückst du die F8-Taste zu früh. Warte noch ein kleines bisschen länger und dann sollte es wieder klappen.

Hallo Leo,
verhext. verhext! habe Deine Anweisung befolgt, mit dem F8 etwas gewartet beim Aufstarten, aber die Kiste startet sich immer wieder auf bis zur blauen Dialogbox "Please select boot device:" auf welche der drei Zeilen ich dann auch gehe, von der man dann booten kann, gelange ich einfach nicht mehr zur Aufforderung "computer reparieren". Wenn ich dann beim booten von da aus weiterhin F8 drücke, kommen 2 verschiedene Darstellungen:
deutsch:
a) abgesicherter Modus
b) abges.Modus mit Netzwerktreiber
c) abges.Modus mit Eingabeaufforderung
d) Windows normal starten
etc etc..

oder es kommt die andere version:
english
Die erste Zeile: Windows advanced option menu
please select an option
a) safe mode
b) safe mode with networking
c) safe mode with command prompt

enable Boot loggin
Enable VGA mode
last known good configuration
Directory services
etc etc...

muss noch anfügen, dass ich sowohl win7 home premiumum/64 und auch Windows XP auf der Kiste habe, allerdings arbeite ich immer vom win7 aus.

Ob ich wohl ein hoffnungsloser Fall bin?
Herzlichen Dank und Gruss

Anatol

Hallo,

also ich kann dir jetzt auch nicht grad sagen, wo diese Reperaturoptionen verschwunden sind.. :)
Aber der obige FRST-Fix funktioniert auch aus dem abgesicherten Modus mit Eingabeaufforderung des befallenen Windows 7!

Hallo Leo,
Der Befehl "Computer reparieren" ist wieder aufgetaucht aufgrund Deiner Instruktion.
der Fixlog lautet nun:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 22-06-2013 02
Ran by SYSTEM at 2013-06-23 16:47:01 Run:1
Running from K:\
Boot Mode: Recovery
==============================================

HKU\Alfred\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
C:\Users\Alfred\AppData\Roaming\skype.dat => Moved successfully.
C:\Users\Alfred\AppData\Roaming\skype.ini => Moved successfully.

==== End of Fixlog ====

Ich bedanke mich sehr für weitere Instruktionen und wünsch Dir einen guten Wochenstart
Gruss
Anatol

Hallo,

du solltest jetzt den Rechner wieder ganz normal starten können ohne Sperrbildschirm, korrekt?

Dann mach bitte das:


Verschiebe die frst64.exe vom USB-Stick auf deinen Desktop.

• Starte dann FRST.
• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

Hallo Leo,
sagenhaft, sagenhaft Deine professionelle Hilfeleistung! Wie kann ich mich erkenntlich zeigen? Ist eine Donation möglich?

Mit ganz grossem Dank!

Anatol

Anbei die logfiles:
FRST Logfile:
--- --- ---
FRST Additions Logfile:
--- --- ---

Hallo,

Das ist möglich. Wenn du möchtest, kannst du den Unterhalt des Forums mit einer kleinen Spende unterstützen. :)

Machen wir weiter:


Schritt 1

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von FRST

Hallo Leo,
Vielen Dank für Deine wiederum superprompte Antwort. Hier also die beiden gewünschten Protokolle.
Gruss
AnatolAdwCleaner Logfile:
--- --- ---
FRST Logfile:
--- --- ---

Hallo,

wir machen noch eine abschliessende Kontrolle und schliessen vorhandene Sicherheitslücken.
Wie läuft der Rechner?


Schritt 1

Lade dir TFC (von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schliesse alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Hallo Leo,
hier die Schritte 1-4
1. der PC läuft normal, wie vorher.
2. hier die logs der schritte 2-3:

vielen Dank und Gruss

Anatol

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.06.24.04

Windows 7 Service Pack 1 x64 FAT
Internet Explorer 9.0.8112.16421
Alfred :: DM12REP [Administrator]

Schutz: Aktiviert

24.06.2013 17:57:26
MBAM-log-2013-06-24 (18-03-57).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208167
Laufzeit: 2 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\Alfred\Downloads\ADM-566_de-DE(1).exe (Trojan.Zbot.UPX) -> Keine Aktion durchgeführt.
C:\Users\Alfred\Downloads\DiskMonitorFree.exe (Trojan.Zbot.UPX) -> Keine Aktion durchgeführt.
C:\Users\Alfred\Downloads\FFDShow_Setup.exe (PUP.Bundle.Installer.OI) -> Keine Aktion durchgeführt.
C:\Users\Alfred\Downloads\Firefox Setup 17.0.1.exe (Trojan.Zbot.UPX) -> Keine Aktion durchgeführt.
C:\Users\Alfred\Downloads\Firefox Setup 20.0.1(1).exe (Trojan.Zbot.UPX) -> Keine Aktion durchgeführt.
C:\Users\Alfred\Downloads\PDFCreator-1_7_0_setup.exe (Trojan.Zbot.UPX) -> Keine Aktion durchgeführt.
C:\Users\Alfred\Downloads\pdfeditor_3.3.exe (Trojan.Zbot.UPX) -> Keine Aktion durchgeführt.
C:\Users\Alfred\Downloads\VTSM_AAS-SamuiFS2004.exe (Trojan.Zbot.UPX) -> Keine Aktion durchgeführt.

(Ende)

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=5e088eb22d545b43b5b3b88971637d99
# engine=14145
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-24 07:20:23
# local_time=2013-06-24 09:20:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 20832317 123731473 0 0
# scanned=325430
# found=4
# cleaned=0
# scan_time=9834
sh=626CD267FDFB3ECB5762B6E60D7F29A871874B0F ft=1 fh=9ef57d31c7b61ed5 vn="Win32/Adware.ToolPlugin application" ac=I fn="C:\Daten\Eigene von C\Downloads\DivxUpdate.exe"
sh=B2CE7ECBBE301B561C09C86AD3A8ACC11C8941A7 ft=1 fh=990d3c4f449cf2e5 vn="multiple threats" ac=I fn="C:\Daten\Eigene von C\Downloads\setup.exe"
sh=0E0483B1F8A5A5EFB5D56EC53BD856ECEBF35EF4 ft=1 fh=67e1369685b6abc9 vn="Win32/LockScreen.APR trojan" ac=I fn="C:\FRST\Quarantine\skype.dat"
sh=6F140BA4C4EC8D247FEE9D4B0A57A14917DE3D9F ft=1 fh=7df8c12a04e30998 vn="a variant of Win32/Adware.AddLyrics.A application" ac=I fn="C:\Users\Alfred\Downloads\setup.exe"


Results of screen317's Security Check version 0.99.64
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 10
``````````````Antivirus/Firewall Check:``````````````
Microsoft Security Essentials
(On Access scanning disabled!)
Error obtaining update status for antivirus!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Adobe Flash Player 11.7.700.224
Adobe Reader XI
Mozilla Firefox (21.0)
Mozilla Thunderbird (17.0.6)
````````Process Check: objlist.exe by Laurent````````
Microsoft Security Essentials msseces.exe
Windows Defender MSMpEng.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Microsoft Security Client Antimalware MsMpEng.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Hallo,

Wo hast du diese Dateien heruntergeladen?


Lass uns mal eine davon gegenprüfen:


Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:

• Klicke auf Wählen Sie eine.
• Kopiere dann Folgendes in das Eingabefeld für den Dateinamen
  
  Code:

  ---

  C:\Users\Alfred\Downloads\Firefox Setup 17.0.1.exe

  ---

  und klicke auf Öffnen.
• Klicke auf Scannen!.
• Solltest du folgende Meldung bekommen:
  
  Zitat:

  Datei wurde bereits analysiert - Diese Datei wurde bereits von VirusTotal analysiert am ...

  dann klicke auf Neu analysieren.
• Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.

Hallo Leo,
Wenn ich genau nach Deiner Instruktion verfahre, ergibt sich folgendes:
a) ich kopiere "C:\Users\Alfred\Downloads\Firefox Setup 17.0.1.exe" in das sich geöffnete Feld "Dateiname".
b) Dann klicke ich "öffnen",
c) im Programm "Virustotal" Feld erscheint aber bloss "Firefox Setup 17.0.1.exe" also nicht beginnend mit "C\Users......"
In der Fehlermeldung heisst es: "Firefox Setup 17.0.1.exe. Datei wurde nicht gefunden. Ueberprüfen Sie......."

Gruss Anatol