Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundestrojaner GVU Windows 7 64 bit (https://www.trojaner-board.de/138252-bundestrojaner-gvu-windows-7-64-bit.html)

SinnerApple 15.07.2013 11:51
Bundestrojaner GVU Windows 7 64 bit
 
Hallo zusammen,

war am Surfen und zweimal wurde der Browser ausgeblendet, dann hat sich noch Antivir aktualisiert und schon kam der wohlbekannte Bundestrojaner Screenshot mit der Aufforderung per Paysafecard 100 € zu zahlen.

Im abgesicherten Modus fährt der Laptop direkt wieder runter, habe mit dem FRST-Tool folgende Log-Datei erstellt:


FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 14-07-2013
Ran by SYSTEM on 15-07-2013 12:40:55
Running from G:\
Windows 7 Home Premium (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IAAnotif] - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-06-04] (Intel Corporation)
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [16334880 2009-07-27] (NVIDIA Corporation)
HKLM\...\Run: [cAudioFilterAgent] - C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe [503864 2009-07-20] (Conexant Systems, Inc.)
HKLM\...\Run: [Apoint] - C:\Program Files\Apoint2K\Apoint.exe [295936 2009-05-21] (Alps Electric Co., Ltd.)
HKLM\...\Run: [Acer ePower Management] - C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe [828960 2009-08-05] (Acer Incorporated)
HKLM\...\Run: [AdobeAAMUpdater-1.0] - "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [446392 2012-04-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [BackupManagerTray] - "C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" -h -k [262912 2009-08-20] (NewTech Infosystems, Inc.)
HKLM-x32\...\Run: [Camera Assistant Software] - "C:\Program Files (x86)\Video Web Camera\traybar.exe" [630784 2008-12-10] (Chicony)
HKLM-x32\...\Run: [LManager] - C:\Program Files (x86)\Launch Manager\LManager.exe [1194504 2009-08-27] (Dritek System Inc.)
HKLM-x32\...\Run: [RemoteControl8] - "c:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [91432 2009-04-15] (CyberLink Corp.)
HKLM-x32\...\Run: [GrooveMonitor] - "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-09-04] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [PDFPrint] - C:\Program Files (x86)\PDF24\pdf24.exe [162856 2013-03-20] (Geek Software GmbH)
HKLM-x32\...\Run: [SwitchBoard] - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS6ServiceManager] - "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin [1073312 2012-03-09] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [LogMeIn Hamachi Ui] - "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start [2255184 2013-06-28] (LogMeIn Inc.)
HKU\Default\...\RunOnce: [ScrSav] - C:\Windows\Screensavers\PackardBell\run_PackardBel [x]
HKU\Default User\...\RunOnce: [ScrSav] - C:\Windows\Screensavers\PackardBell\run_PackardBel [x]
HKU\Florian\...\Run: [swg] - "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2009-08-21] (Google Inc.)
HKU\Florian\...\Run: [msnmsgr] - "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [3872080 2010-04-16] (Microsoft Corporation)
HKU\Florian\...\Run: [DAEMON Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun [369200 2009-10-30] (DT Soft Ltd)
HKU\Florian\...\Run: [ICQ] - "C:\Program Files (x86)\ICQ7.0\ICQ.exe" silent loginmode=4 [133432 2011-01-05] (ICQ, LLC.)
HKU\Florian\...\Run: [spy.qwas.exe] - C:\spy.qwas\spy.qwas.exe [x]
HKU\Florian\...\Run: [AdobeBridge] -  [x]
HKU\Florian\...\Winlogon: [Shell] explorer.exe,C:\Users\Florian\AppData\Roaming\cache.dat [123392 2011-11-16] () <==== ATTENTION

==================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [86224 2012-09-04] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [110032 2012-09-04] (Avira Operations GmbH & Co. KG)
S2 ePowerSvc; C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [844320 2009-08-05] (Acer Incorporated)
S2 Greg_Service; C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe [1150496 2009-06-04] (Acer Incorporated)
S4 msvsmon90; C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x64\msvsmon.exe [4737024 2008-07-29] (Microsoft Corporation)
S2 NTI IScheduleSvc; C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [62720 2009-08-20] (NewTech Infosystems, Inc.)
S2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [75064 2010-02-28] ()
S2 PortmapperService; C:\Program Files (x86)\PTC Portmapper\x86e_win64\obj\portmap.exe [662016 2011-11-09] (PTC)
S2 Updater Service; C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe [240160 2009-07-03] (Acer)

==================== Drivers (Whitelisted) ====================

S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [303616 2010-02-09] ()
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [98848 2012-09-04] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132832 2012-09-04] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [27760 2012-09-04] (Avira GmbH)
S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [35328 2010-02-09] ()
S2 SoundDrv_kmd; C:\PROGRA~2\DASYLA~1\SoundDrv.kmd [7168 1999-06-30] ()
S2 SoundDrv_kmd; C:\PROGRA~2\DASYLA~1\SoundDrv.kmd [7168 1999-06-30] ()
S0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-02-09] (Duplex Secure Ltd.)
S2 tandpl; C:\Windows\SysWow64\drivers\tandpl.sys [4736 2003-04-18] ()
S3 Afc; system32\drivers\Afc.sys [x]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x]
S2 tandpl; System32\drivers\tandpl.sys [x]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-15 12:40 - 2013-07-15 12:40 - 00000000 ____D C:\FRST
2013-07-15 01:47 - 2013-07-15 02:31 - 00000004 _____ C:\Users\Florian\AppData\Roaming\cache.ini
2013-07-11 06:07 - 2013-06-11 15:43 - 02877440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-07-11 06:07 - 2013-06-11 15:43 - 01767936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-07-11 06:07 - 2013-06-11 15:43 - 01141248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-07-11 06:07 - 2013-06-11 15:43 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-07-11 06:07 - 2013-06-11 15:43 - 00493056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-07-11 06:07 - 2013-06-11 15:43 - 00039424 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-07-11 06:07 - 2013-06-11 15:42 - 13760512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-07-11 06:07 - 2013-06-11 15:42 - 02046976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-07-11 06:07 - 2013-06-11 15:42 - 00391168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-07-11 06:07 - 2013-06-11 15:42 - 00109056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-07-11 06:07 - 2013-06-11 15:42 - 00061440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-07-11 06:07 - 2013-06-11 15:42 - 00033280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-07-11 06:07 - 2013-06-11 15:26 - 02241024 _____ (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-07-11 06:07 - 2013-06-11 15:26 - 01365504 _____ (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-07-11 06:07 - 2013-06-11 15:26 - 00051712 _____ (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-07-11 06:07 - 2013-06-11 15:25 - 15404032 _____ (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 03958784 _____ (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 02648576 _____ (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 00855552 _____ (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 00603136 _____ (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 00526336 _____ (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 00136704 _____ (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 00067072 _____ (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 00053248 _____ (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-07-11 06:07 - 2013-06-11 15:25 - 00039936 _____ (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-07-11 06:07 - 2013-06-11 14:51 - 00071680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-07-11 06:07 - 2013-06-11 14:50 - 00089600 _____ (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-07-11 06:07 - 2013-06-06 19:22 - 02706432 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-07-11 06:07 - 2013-06-06 18:37 - 02706432 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-07-11 06:06 - 2013-06-11 15:43 - 14329856 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-07-11 06:06 - 2013-06-11 15:25 - 19238912 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-07-11 02:34 - 2013-06-04 19:34 - 03153920 _____ (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-07-11 02:34 - 2013-06-03 22:00 - 00624128 _____ (Microsoft Corporation) C:\Windows\System32\qedit.dll
2013-07-11 02:34 - 2013-06-03 20:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qedit.dll
2013-07-11 02:34 - 2013-05-05 22:03 - 01887744 _____ (Microsoft Corporation) C:\Windows\System32\WMVDECOD.DLL
2013-07-11 02:34 - 2013-05-05 20:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-07-11 02:33 - 2013-04-09 15:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2013-07-11 02:33 - 2013-04-02 14:51 - 01643520 _____ (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2013-07-07 13:02 - 2013-07-07 13:02 - 00000000 ____D C:\Program Files (x86)\LogMeIn Hamachi
2013-07-02 01:29 - 2013-07-02 01:30 - 17617288 _____ (Adobe Systems Incorporated) C:\Users\Florian\Downloads\install_flash_player(1).exe
2013-06-26 09:56 - 2013-06-26 09:56 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-06-25 02:41 - 2013-06-25 02:41 - 00163058 _____ C:\Users\Florian\Downloads\Airmole.zip
2013-06-25 02:41 - 2013-06-25 02:41 - 00024494 _____ C:\Users\Florian\Downloads\Airstream.zip
2013-06-25 02:41 - 2013-06-25 02:41 - 00017459 _____ C:\Users\Florian\Downloads\koolbeans.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00131965 _____ C:\Users\Florian\Downloads\sandy_ravage.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00037356 _____ C:\Users\Florian\Downloads\iron_man_of_war_002_ncv.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00022133 _____ C:\Users\Florian\Downloads\parolm_smallcaps.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00010739 _____ C:\Users\Florian\Downloads\smallville.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00010382 _____ C:\Users\Florian\Downloads\sandy.zip
2013-06-25 02:38 - 2013-06-25 02:38 - 00012840 _____ C:\Users\Florian\Downloads\sherbert.zip
2013-06-25 02:38 - 2013-06-25 02:38 - 00010842 _____ C:\Users\Florian\Downloads\maline.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00462290 _____ C:\Users\Florian\Downloads\peach_milk.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00023795 _____ C:\Users\Florian\Downloads\anothersunday.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00021740 _____ C:\Users\Florian\Downloads\photography.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00012999 _____ C:\Users\Florian\Downloads\daydreaming.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00012631 _____ C:\Users\Florian\Downloads\irisisweird.zip
2013-06-25 01:20 - 2013-06-25 01:20 - 00048253 _____ C:\Users\Florian\Downloads\head_case.zip
2013-06-25 01:20 - 2013-06-10 12:43 - 00169720 _____ C:\Users\Florian\Desktop\Head Case.ttf
2013-06-25 01:03 - 2013-06-25 01:05 - 00000000 ____D C:\Program Files (x86)\phase5
2013-06-24 04:28 - 2013-05-07 22:39 - 01910632 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-24 04:24 - 2013-04-25 21:51 - 00751104 _____ (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-24 04:24 - 2013-04-25 20:55 - 00492544 _____ (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-06-24 04:23 - 2013-05-09 21:49 - 00030720 _____ (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-24 04:23 - 2013-05-09 19:20 - 00024576 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptdlg.dll
2013-06-24 04:23 - 2013-04-16 23:02 - 01230336 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2013-06-24 04:23 - 2013-04-16 22:24 - 01424384 _____ (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll
2013-06-24 04:21 - 2013-05-12 21:51 - 01464320 _____ (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-24 04:21 - 2013-05-12 21:51 - 00184320 _____ (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-24 04:21 - 2013-05-12 21:51 - 00139776 _____ (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-24 04:21 - 2013-05-12 21:50 - 00052224 _____ (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-24 04:21 - 2013-05-12 20:45 - 01160192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2013-06-24 04:21 - 2013-05-12 20:45 - 00140288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2013-06-24 04:21 - 2013-05-12 20:45 - 00103936 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2013-06-24 04:21 - 2013-05-12 19:43 - 01192448 _____ (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-24 04:21 - 2013-05-12 19:08 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certenc.dll
2013-06-24 04:20 - 2013-05-12 19:08 - 00903168 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certutil.exe
2013-06-24 04:19 - 2013-04-25 15:30 - 01505280 _____ (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2013-06-24 04:19 - 2013-03-31 14:52 - 01887232 _____ (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-21 02:12 - 2013-06-21 02:20 - 00077238 _____ C:\Users\Florian\Documents\trail.txt.29
2013-06-21 01:42 - 2013-06-21 01:42 - 10910973 _____ C:\Users\Florian\Desktop\iron man.psd
2013-06-21 01:05 - 2013-06-21 01:42 - 00074741 _____ C:\Users\Florian\Documents\trail.txt.28

==================== One Month Modified Files and Folders =======

2013-07-15 12:40 - 2013-07-15 12:40 - 00000000 ____D C:\FRST
2013-07-15 02:32 - 2010-02-05 12:22 - 01545573 _____ C:\Windows\WindowsUpdate.log
2013-07-15 02:31 - 2013-07-15 01:47 - 00000004 _____ C:\Users\Florian\AppData\Roaming\cache.ini
2013-07-15 02:28 - 2009-07-13 20:45 - 00017376 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-15 02:28 - 2009-07-13 20:45 - 00017376 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-15 02:20 - 2012-10-15 03:39 - 00000000 ____D C:\Users\Florian\AppData\Local\LogMeIn Hamachi
2013-07-15 02:19 - 2010-02-06 01:48 - 00000000 ____D C:\Users\Florian\Tracing
2013-07-15 02:19 - 2010-02-06 01:42 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-15 02:19 - 2009-07-13 21:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-15 02:19 - 2009-07-13 20:51 - 00168230 _____ C:\Windows\setupact.log
2013-07-15 01:49 - 2010-02-05 21:10 - 00659238 _____ C:\Windows\System32\perfh007.dat
2013-07-15 01:49 - 2010-02-05 21:10 - 00132776 _____ C:\Windows\System32\perfc007.dat
2013-07-15 01:49 - 2009-07-13 21:13 - 01534410 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-15 01:39 - 2010-02-08 00:57 - 00000000 ____D C:\Users\Florian\AppData\Local\Adobe
2013-07-12 13:39 - 2009-07-13 20:45 - 05075848 _____ C:\Windows\System32\FNTCACHE.DAT
2013-07-12 13:38 - 2013-04-01 04:58 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-07-12 13:38 - 2013-04-01 04:58 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-07-12 13:38 - 2009-08-15 22:31 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-12 13:38 - 2009-07-13 21:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-12 13:38 - 2009-07-13 21:32 - 00000000 ____D C:\Program Files (x86)\Windows Defender
2013-07-11 06:09 - 2010-02-06 05:59 - 78185248 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-07-11 06:08 - 2009-08-21 21:59 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-07-11 05:57 - 2010-02-06 01:42 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-11 02:32 - 2013-05-09 22:43 - 00000000 ____D C:\Users\Florian\Desktop\Biologische Verfahrenstechnik
2013-07-07 13:02 - 2013-07-07 13:02 - 00000000 ____D C:\Program Files (x86)\LogMeIn Hamachi
2013-07-07 13:02 - 2010-02-05 13:18 - 00000000 ____D C:\Users\Florian\AppData\Local\Google
2013-07-02 12:34 - 2012-05-06 23:33 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-07-02 01:30 - 2013-07-02 01:29 - 17617288 _____ (Adobe Systems Incorporated) C:\Users\Florian\Downloads\install_flash_player(1).exe
2013-07-02 01:30 - 2012-04-01 01:54 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-07-02 01:30 - 2011-06-03 04:31 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-26 09:56 - 2013-06-26 09:56 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-06-25 04:01 - 2010-02-06 02:31 - 00000000 ___RD C:\Users\Florian\Desktop\Programme
2013-06-25 02:41 - 2013-06-25 02:41 - 00163058 _____ C:\Users\Florian\Downloads\Airmole.zip
2013-06-25 02:41 - 2013-06-25 02:41 - 00024494 _____ C:\Users\Florian\Downloads\Airstream.zip
2013-06-25 02:41 - 2013-06-25 02:41 - 00017459 _____ C:\Users\Florian\Downloads\koolbeans.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00131965 _____ C:\Users\Florian\Downloads\sandy_ravage.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00037356 _____ C:\Users\Florian\Downloads\iron_man_of_war_002_ncv.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00022133 _____ C:\Users\Florian\Downloads\parolm_smallcaps.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00010739 _____ C:\Users\Florian\Downloads\smallville.zip
2013-06-25 02:39 - 2013-06-25 02:39 - 00010382 _____ C:\Users\Florian\Downloads\sandy.zip
2013-06-25 02:38 - 2013-06-25 02:38 - 00012840 _____ C:\Users\Florian\Downloads\sherbert.zip
2013-06-25 02:38 - 2013-06-25 02:38 - 00010842 _____ C:\Users\Florian\Downloads\maline.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00462290 _____ C:\Users\Florian\Downloads\peach_milk.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00023795 _____ C:\Users\Florian\Downloads\anothersunday.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00021740 _____ C:\Users\Florian\Downloads\photography.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00012999 _____ C:\Users\Florian\Downloads\daydreaming.zip
2013-06-25 02:37 - 2013-06-25 02:37 - 00012631 _____ C:\Users\Florian\Downloads\irisisweird.zip
2013-06-25 01:34 - 2010-02-05 12:40 - 00123272 _____ C:\Users\Florian\AppData\Local\GDIPFONTCACHEV1.DAT
2013-06-25 01:20 - 2013-06-25 01:20 - 00048253 _____ C:\Users\Florian\Downloads\head_case.zip
2013-06-25 01:05 - 2013-06-25 01:03 - 00000000 ____D C:\Program Files (x86)\phase5
2013-06-24 04:13 - 2009-08-21 22:21 - 00282968 _____ C:\Windows\PFRO.log
2013-06-21 02:20 - 2013-06-21 02:12 - 00077238 _____ C:\Users\Florian\Documents\trail.txt.29
2013-06-21 02:20 - 2012-08-27 08:08 - 00000000 ____D C:\Users\Florian\Documents\Creo Elements Arbeitsverzeichnis
2013-06-21 02:20 - 2010-02-06 07:00 - 00000112 _____ C:\Users\Florian\Documents\std.err
2013-06-21 01:42 - 2013-06-21 01:42 - 10910973 _____ C:\Users\Florian\Desktop\iron man.psd
2013-06-21 01:42 - 2013-06-21 01:05 - 00074741 _____ C:\Users\Florian\Documents\trail.txt.28

Files to move or delete:
====================
C:\ProgramData\FullRemove.exe

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-05-09 22:45:42
Restore point made on: 2013-05-13 09:21:05
Restore point made on: 2013-05-16 04:26:09
Restore point made on: 2013-05-21 10:08:29
Restore point made on: 2013-06-17 01:08:17
Restore point made on: 2013-06-20 22:06:03
Restore point made on: 2013-06-24 04:19:28
Restore point made on: 2013-06-25 01:01:47
Restore point made on: 2013-07-02 00:32:33
Restore point made on: 2013-07-07 13:08:15
Restore point made on: 2013-07-11 02:35:09
Restore point made on: 2013-07-11 05:57:41
Restore point made on: 2013-07-15 01:44:10

==================== Memory info ===========================

Percentage of memory in use: 18%
Total physical RAM: 4090.93 MB
Available physical RAM: 3344.2 MB
Total Pagefile: 4089.08 MB
Available Pagefile: 3334.9 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (Packard Bell) (Fixed) (Total:453.94 GB) (Free:232.39 GB) NTFS (Disk=0 Partition=3) ==>[System with boot components (obtained from reading drive)]
Drive e: (PQSERVICE) (Fixed) (Total:11.72 GB) (Free:2.83 GB) NTFS (Disk=0 Partition=1)
Drive g: () (Removable) (Total:3.74 GB) (Free:2.88 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 466 GB) (Disk ID: 6ECE6ECE)
Partition 1: (Not Active) - (Size=12 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=454 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-05-14 04:34

==================== End Of Log ============================
--- --- ---

--- --- ---


Wäre super, wenn mir jemand nen Ansatz sagen würde, wie ich am Besten vorgehen kann. Habe die SATA-Festplatte auch schon ausgebaut, bin mir nur nicht sicher ob es Sinn macht sie an meinen gesunden PC anzuschließen, um die wichtigen Daten zu sichern!

t'john 15.07.2013 12:04
:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
HKU\Florian\...\Winlogon: [Shell] explorer.exe,C:\Users\Florian\AppData\Roaming\cache.dat [123392 2011-11-16] () <==== ATTENTION
S2 SoundDrv_kmd; C:\PROGRA~2\DASYLA~1\SoundDrv.kmd [7168 1999-06-30] ()
2013-07-15 01:47 - 2013-07-15 02:31 - 00000004 _____ C:\Users\Florian\AppData\Roaming\cache.ini
2013-07-15 02:31 - 2013-07-15 01:47 - 00000004 _____ C:\Users\Florian\AppData\Roaming\cache.ini
C:\ProgramData\FullRemove.exe
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



dann neustart und:

2. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

SinnerApple 15.07.2013 20:37
So habe die genannten Schritte durchlaufen, hier die Log-Dateien:

FRST Fixlog:

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 14-07-2013
Ran by SYSTEM at 2013-07-15 14:32:12 Run:1
Running from G:\
Boot Mode: Recovery
==============================================

HKU\Florian\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
SoundDrv_kmd => Service deleted successfully.
C:\Users\Florian\AppData\Roaming\cache.ini  => Moved successfully.
"C:\Users\Florian\AppData\Roaming\cache.ini " => File/Directory not found.
C:\ProgramData\FullRemove.exe => Moved successfully.

==== End of Fixlog ====
Malwarebytes Anti-Malware-Log:

Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.15.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Florian :: FLORIAN-PC [Administrator]

15.07.2013 14:52:23
mbam-log-2013-07-15 (14-52-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 472285
Laufzeit: 2 Stunde(n), 18 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|spy.qwas.exe (Trojan.SpyEyes) -> Daten: C:\spy.qwas\spy.qwas.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\spy.qwas (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 9
C:\Program Files\Adobe\Adobe Photoshop CS6 (64 Bit)\amtlib.dll (PUP.RiskwareTool.CK) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Adobe\Adobe Photoshop CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Keine Aktion durchgeführt.
C:\Users\Florian\Documents\PTC Lizenz\Crack\ptc.distributed.services.m060-patch.exe (PUP.Hacktool.Patcher) -> Keine Aktion durchgeführt.
C:\Users\Florian\Downloads\PTC ProENGINEER Wildfire 3.0\Crack\ptc.distributed.services.m060-patch.exe (PUP.Hacktool.Patcher) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Electronic Arts\Battlefield Bad Company 2\rld-bbc2.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Gothic III\Gothic3.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Florian\AppData\Local\Temp\ljjdgb (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Florian\AppData\Roaming\cache.dat (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\spy.qwas\config.bin (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
AdwCleaner-Log:

Code:
# AdwCleaner v2.305 - Datei am 15/07/2013 um 20:24:56 erstellt
# Aktualisiert am 11/07/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Florian - FLORIAN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Florian\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\Users\Florian\AppData\Local\Temp\boost_interprocess

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16635

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\Florian\AppData\Roaming\Mozilla\Firefox\Profiles\t5ph4wwh.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1800 octets] - [15/07/2013 20:23:22]
AdwCleaner[S1].txt - [1733 octets] - [15/07/2013 20:24:56]

########## EOF - C:\AdwCleaner[S1].txt - [1793 octets] ##########

t'john 16.07.2013 15:14
Sehr gut! :daumenhoc

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset



danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

SinnerApple 17.07.2013 09:28
So auf in die nächste Runde:

Malwarebytes Anti-Rootkit:

Code:
Malwarebytes Anti-Rootkit BETA 1.06.0.1004
www.malwarebytes.org

Database version: v2013.07.17.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Florian :: FLORIAN-PC [administrator]

17.07.2013 09:34:23
mbar-log-2013-07-17 (09-34-23).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Kernel memory modifications detected. Deep Anti-Rootkit Scan engaged.
Objects scanned: 244791
Time elapsed: 24 minute(s), 56 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)
ESET:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=7edc6da1cef0fd4a8cf7c9eaa78aa9ce
# engine=14421
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-17 08:15:58
# local_time=2013-07-17 10:15:58 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 97 2633 144720263 0 0
# compatibility_mode=5893 16776573 100 94 2462 125678808 0 0
# scanned=382
# found=0
# cleaned=0
# scan_time=288
SecurityCheck:

Code:
Results of screen317's Security Check version 0.99.69 
 Windows 7 Service Pack 1 x64 (UAC is enabled) 
 Internet Explorer 10 
``````````````Antivirus/Firewall Check:``````````````
 Windows Security Center service is not running! This report may not be accurate!
Avira Desktop 
 Antivirus up to date! 
`````````Anti-malware/Other Utilities Check:`````````
 Malwarebytes Anti-Malware Version 1.75.0.1300 
 Java(TM) 6 Update 18 
 Java(TM) SE Development Kit 6 Update 18
 Java version out of Date!
 Adobe Flash Player 11.7.700.224 
 Adobe Reader 10.1.7 Adobe Reader out of Date! 
 Mozilla Firefox (22.0)
````````Process Check: objlist.exe by Laurent```````` 
 Avira Antivir avgnt.exe
 Avira Antivir avguard.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````

Also sieht ja schonmal sehr sauber aus!

t'john 17.07.2013 15:10
Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)


Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die .exe-Datei
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 25 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck



Downloade dir bitte Farbar Service Scanner Farbar Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.



SinnerApple 18.07.2013 11:11
So:

Java-Update PluginCheck:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 22.0 ist aktuell

Flash (11,7,700,224) ist aktuell.

Java (1,7,0,25) ist aktuell.

Adobe Reader 11,0,3,37 ist aktuell.



Java-Plugin deaktiviert:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 22.0 ist aktuell

Flash (11,7,700,224) ist aktuell.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,3,37 ist aktuell.



FSS-Log:

Code:
Farbar Service Scanner Version: 13-07-2013
Ran by Florian (administrator) on 18-07-2013 at 12:08:47
Running from "C:\Users\Florian\Desktop"
Microsoft Windows 7 Home Premium  Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
RpcSs Service is not running. Checking service configuration:
The start type of RpcSs service is OK.
The ImagePath of RpcSs service is OK.


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****

t'john 18.07.2013 17:14
ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

t'john 12.10.2013 12:21
Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19