Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   XP divers infiziert (GVU,Recycler,Zbot,Notever,Trojan...) - Systemcheck und Datentransfer per USB-Stick sicher? (https://www.trojaner-board.de/139602-xp-divers-infiziert-gvu-recycler-zbot-notever-trojan-systemcheck-datentransfer-per-usb-stick-sicher.html)

DieRudy 10.08.2013 02:11
XP divers infiziert (GVU,Recycler,Zbot,Notever,Trojan...) - Systemcheck und Datentransfer per USB-Stick sicher?
 
Hallo,

wirklich toll, das ihr bisher so vielen Leuten helfen konntet.
Leider bin ich bzgl. PC&Software eher ein Amateur, aber eure Anleitungen sind so verständlich, dass ich einen Hilfegesuch starten möchte. Anbei meine Situation:

PC & Sicherheit:
Windows XP Professional (32bit) Version 2002
Service Pack 3
Windows Firewall aktiv (integriert)
Windows Security Essentials/Virenschutz aktiv
Windows Updates aktiv (autom.)

Historie:
Vor ca. 6-8 Monaten befall mit GVU.
Symptome:
GVU-Sperrbildschirm erschien sofort nach Windowsstart+Internetverbindung.
Bei Windows-Start und getrennter Internetverbindung erschien kein Sperrbildschirm, weshalb ich USB-Sticks an den infizierten PC angeschlossen habe, um Daten zu kopieren. Diese wurden anschließend an weitere Rechner angeschlossen - ein Sperrbildschirm erschien nicht.
Um Abhilfe zu schaffen und den "GVU-Rechner" wieder mit Internet nutzen zu können, wurde damals irgendwie/irgendwas Kaspersky-Rescue-Disk leihenhaft durchgeführt. Zunächst erfolglos, doch nach einigen vergeblichen Windows-Startversuchen meldet Windows Security Essentials plötzlich einen Virenfund in Quarantäne. Dieser wurde "entfernt". Darauffolgender Windowsstart+Internetverbindung erfolgte dann ohne Sperrbildschirm. Gesamtdauer ca. 1 Woche (Sperrung bis "Entsperrung")

Seitdem ist der PC regelmäßig in Benutzung, (gefühlt) keine Einschränkungen.
Sporadische Meldungen von Windows Security Essentials über Virenbefall. Alle Funde traten/treten in unregelmäßigen Abständen wiederholt auf. (Zbot, Recycler, diverse Trojaner). Da keine vertraulichen Daten (mehr) über den PC gesendet/empfangen werden, habe ich die weitere Bekämpfung nicht weiter verfolgt.

Fragen:
1.Kann ich per USB-Stick zwischen diesem und anderen PC´s Daten tauschen?
Hinweis: Manchmal sind unlöschbare "Recycler" Dateien auf den Sticks!? Diese Recycler-
Dateien befinden sich zum Teil auch auf den PC´s.
2.Ist die 2. Festplatte (nur Daten) auch infiziert oder kann ich sie in einem anderen PC
nutzen?

Hinweis: Bevor ich gemäß Anleitung zum Erstellen eines Themas verfahren bin, habe ich Malwarebytes Scan durchgeführt. Sorry. Die LogDatei folgt zuerst.

Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.08.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Ringa :: RINGA-B8D53289D [Administrator]

Schutz: Aktiviert

08.08.2013 17:46:55
mbam-log-2013-08-08 (17-46-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 334610
Laufzeit: 1 Stunde(n), 28 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Seolo (Trojan.Agent.ACR) -> Daten: "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Roel\ziemo.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Roel\ziemo.exe (Trojan.Agent.ACR) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Ringa\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YN49MP\calc[1].exe (Spyware.Zbot.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{71502D14-FE0E-4922-B5B5-66A6A0F1E72D}\RP369\A0063107.exe (Trojan.Zbot.FV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{71502D14-FE0E-4922-B5B5-66A6A0F1E72D}\RP371\A0063163.exe (Trojan.Agent.ACR) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{71502D14-FE0E-4922-B5B5-66A6A0F1E72D}\RP381\A0064782.exe (Spyware.Zbot.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Ab hier nur nach Anleitung und Weisung.

LogFile DeFogger

Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:01 on 09/08/2013 (Ringa)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
LogFile FRST

Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 08-08-2013 02
Ran by Ringa (administrator) on 09-08-2013 23:39:50
Running from C:\Dokumente und Einstellungen\Ringa\Desktop
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\MsMpEng.exe
(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(NEC Electronics Corporation) C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\msseces.exe
(Behringer Spezielle Studiotechnik GmbH) C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe
(Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\plugin-container.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [AVMWlanClient] - C:\Programme\avmwlanstick\FRITZWLANMini.exe [x]
HKLM\...\Run: [NUSB3MON] - C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe [106496 2009-10-21] (NEC Electronics Corporation)
HKLM\...\Run: [MSC] - C:\Programme\Microsoft Security Client\msseces.exe [947152 2013-01-27] (Microsoft Corporation)
HKLM\...\Run: [StartCCC] - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2012-07-27] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
Winlogon\Notify\AtiExtEvent: Ati2evxx.dll (ATI Technologies Inc.)
Winlogon\Notify\WgaLogon: WgaLogon.dll (Microsoft Corporation)
HKCU\...\Run: [Ucceec] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Uwocov\uvyb.exe" [x]
HKCU\...\Run: [Ulexhio] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Kyozg\ugnu.exe" [x]
HKCU\...\Run: [Dyfivy] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Admia\tiarf.exe" [x]
HKCU\...\Run: [Ebyrocixy] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mauk\irax.exe" [x]
MountPoints2: {3dc31800-db74-11e0-b108-0019e00fdcd6} - G:\pushinst.exe
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BCD3000 Control Panel.lnk
ShortcutTarget: BCD3000 Control Panel.lnk -> C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe (Behringer Spezielle Studiotechnik GmbH)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
Handler: ipp - No CLSID Value -
Handler: msdaipp - No CLSID Value -
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default
FF user.js: detected! => C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\user.js
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: multilinks - C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\Extensions\multilinks@plugin.xpi
FF Extension: Default - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082
FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082

========================== Services (Whitelisted) =================

R2 MsMpSvc; C:\Programme\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

R3 AR5211; C:\Windows\System32\DRIVERS\ar5211.sys [470048 2005-12-21] (Atheros Communications, Inc.)
R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [6646784 2012-07-28] (ATI Technologies Inc.)
R3 AtiHDAudioService; C:\Windows\System32\drivers\AtihdXP3.sys [103040 2012-05-14] (Advanced Micro Devices)
S3 BCD3000; C:\Windows\System32\Drivers\BCD3000.SYS [47208 2011-05-19] (Behringer)
S3 BCD3000WDM; C:\Windows\System32\Drivers\BCD3000WDM.SYS [27240 2011-05-19] (Behringer)
R3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-14] (Windows (R) Server 2003 DDK provider)
R3 marc2; C:\Windows\System32\DRIVERS\marc2.sys [128374 2006-09-11] (MARIAN)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
S4 IntelIde; No ImagePath
S2 StarOpen; No ImagePath
U1 WS2IFSL;

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:38 - 2013-08-09 23:38 - 01230104 _____ (Farbar) C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 02:06 - 2013-08-09 02:06 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-07-11 19:41 - 2013-07-11 19:41 - 00122079 _____ C:\WINDOWS\KB2834886.log
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$
2013-07-11 19:40 - 2013-07-11 19:40 - 00121983 _____ C:\WINDOWS\KB2803821.log
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2803821_WM9$
2013-07-11 19:30 - 2013-07-11 19:30 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$
2013-07-11 18:32 - 2013-07-11 19:41 - 00127297 _____ C:\WINDOWS\KB2850851.log
2013-07-11 18:31 - 2013-07-11 19:40 - 00126019 _____ C:\WINDOWS\KB2845187.log
2013-07-11 18:30 - 2013-07-11 19:30 - 00013324 _____ C:\WINDOWS\KB2846071.log

==================== One Month Modified Files and Folders =======

2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:38 - 2013-08-09 23:38 - 01230104 _____ (Farbar) C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
2013-08-09 23:38 - 2011-05-19 16:27 - 00000000 ____D F:\\Downloads
2013-08-09 23:36 - 2008-04-14 14:00 - 00013646 _____ C:\WINDOWS\system32\wpa.dbl
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 23:01 - 2011-05-19 15:13 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 22:23 - 2011-05-19 15:06 - 01305818 _____ C:\WINDOWS\WindowsUpdate.log
2013-08-09 22:07 - 2013-02-14 00:48 - 00030793 _____ C:\WINDOWS\setupapi.log
2013-08-09 22:07 - 2011-05-19 15:12 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-08-09 17:28 - 2011-12-29 18:29 - 00524288 _____ C:\WINDOWS\system32\config\ACEEvent.evt
2013-08-09 17:28 - 2011-05-19 15:12 - 00032540 _____ C:\WINDOWS\SchedLgU.Txt
2013-08-09 17:27 - 2011-05-19 15:13 - 00000190 ___SH C:\Dokumente und Einstellungen\Ringa\ntuser.ini
2013-08-09 02:22 - 2011-05-19 15:53 - 00000000 ___RD C:\Programme
2013-08-09 02:07 - 2013-02-14 00:14 - 00000000 ____D C:\Programme\AbiWord
2013-08-09 02:07 - 2011-05-19 15:13 - 00000000 ___RD C:\Dokumente und Einstellungen\Ringa\Startmenü\Programme
2013-08-09 02:06 - 2013-08-09 02:06 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-09 02:02 - 2011-05-19 15:52 - 00186967 _____ C:\WINDOWS\setupact.log
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 19:21 - 2011-05-21 03:01 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB974392$
2013-08-08 19:20 - 2013-05-25 00:30 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Roel
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-08-05 21:18 - 2013-05-25 04:57 - 00004970 _____ F:\\Dokumentjj.rtf
2013-07-30 18:04 - 2011-05-19 15:30 - 00000000 __SHD C:\WINDOWS\CSC
2013-07-27 14:21 - 2013-06-28 15:28 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Cisata
2013-07-25 18:57 - 2012-08-26 00:57 - 00004886 _____ F:\\Dokument.rtf
2013-07-23 19:08 - 2013-05-02 07:39 - 00044654 _____ F:\\word3format.rtf
2013-07-17 08:56 - 2013-02-13 23:55 - 00038072 _____ F:\\word3.doc
2013-07-15 17:32 - 2011-05-19 15:31 - 00000000 ____D C:\WINDOWS\Microsoft.NET
2013-07-13 14:03 - 2012-12-23 15:38 - 00000000 ____D C:\Programme\Microsoft Silverlight
2013-07-13 14:03 - 2011-05-19 15:51 - 00093480 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2013-07-11 19:41 - 2013-07-11 19:41 - 00122079 _____ C:\WINDOWS\KB2834886.log
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$
2013-07-11 19:41 - 2013-07-11 18:32 - 00127297 _____ C:\WINDOWS\KB2850851.log
2013-07-11 19:41 - 2011-05-19 15:53 - 01521974 _____ C:\WINDOWS\iis6.log
2013-07-11 19:41 - 2011-05-19 15:53 - 01358019 _____ C:\WINDOWS\FaxSetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00668376 _____ C:\WINDOWS\ocgen.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00628287 _____ C:\WINDOWS\tsoc.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00461026 _____ C:\WINDOWS\comsetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00423646 _____ C:\WINDOWS\msmqinst.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00278631 _____ C:\WINDOWS\ntdtcsetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00238879 _____ C:\WINDOWS\netfxocm.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00094493 _____ C:\WINDOWS\MedCtrOC.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00076059 _____ C:\WINDOWS\ocmsn.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00068739 _____ C:\WINDOWS\tabletoc.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00068492 _____ C:\WINDOWS\msgsocm.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00001374 _____ C:\WINDOWS\imsins.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00001374 _____ C:\WINDOWS\imsins.BAK
2013-07-11 19:40 - 2013-07-11 19:40 - 00121983 _____ C:\WINDOWS\KB2803821.log
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2803821_WM9$
2013-07-11 19:40 - 2013-07-11 18:31 - 00126019 _____ C:\WINDOWS\KB2845187.log
2013-07-11 19:40 - 2011-05-19 15:53 - 01095912 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-07-11 19:35 - 2011-06-26 12:32 - 75699896 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2013-07-11 19:31 - 2011-05-24 15:18 - 00000000 ____D C:\WINDOWS\system32\XPSViewer
2013-07-11 19:30 - 2013-07-11 19:30 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$
2013-07-11 19:30 - 2013-07-11 18:30 - 00013324 _____ C:\WINDOWS\KB2846071.log
2013-07-11 19:30 - 2011-05-19 15:59 - 00065571 _____ C:\WINDOWS\updspapi.log

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e

C:\Windows\System32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a

C:\Windows\System32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366

C:\Windows\System32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc

C:\Windows\System32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd

C:\Windows\System32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106

C:\Windows\System32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d


==================== End Of Log ============================
LogFile FRST Addition

Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 08-08-2013 02
Ran by Ringa (administrator) on 09-08-2013 23:39:50
Running from C:\Dokumente und Einstellungen\Ringa\Desktop
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\MsMpEng.exe
(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(NEC Electronics Corporation) C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\msseces.exe
(Behringer Spezielle Studiotechnik GmbH) C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe
(Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\plugin-container.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [AVMWlanClient] - C:\Programme\avmwlanstick\FRITZWLANMini.exe [x]
HKLM\...\Run: [NUSB3MON] - C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe [106496 2009-10-21] (NEC Electronics Corporation)
HKLM\...\Run: [MSC] - C:\Programme\Microsoft Security Client\msseces.exe [947152 2013-01-27] (Microsoft Corporation)
HKLM\...\Run: [StartCCC] - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2012-07-27] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
Winlogon\Notify\AtiExtEvent: Ati2evxx.dll (ATI Technologies Inc.)
Winlogon\Notify\WgaLogon: WgaLogon.dll (Microsoft Corporation)
HKCU\...\Run: [Ucceec] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Uwocov\uvyb.exe" [x]
HKCU\...\Run: [Ulexhio] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Kyozg\ugnu.exe" [x]
HKCU\...\Run: [Dyfivy] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Admia\tiarf.exe" [x]
HKCU\...\Run: [Ebyrocixy] - "C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mauk\irax.exe" [x]
MountPoints2: {3dc31800-db74-11e0-b108-0019e00fdcd6} - G:\pushinst.exe
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BCD3000 Control Panel.lnk
ShortcutTarget: BCD3000 Control Panel.lnk -> C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe (Behringer Spezielle Studiotechnik GmbH)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
Handler: ipp - No CLSID Value -
Handler: msdaipp - No CLSID Value -
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default
FF user.js: detected! => C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\user.js
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: multilinks - C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\Extensions\multilinks@plugin.xpi
FF Extension: Default - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082
FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082

========================== Services (Whitelisted) =================

R2 MsMpSvc; C:\Programme\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

R3 AR5211; C:\Windows\System32\DRIVERS\ar5211.sys [470048 2005-12-21] (Atheros Communications, Inc.)
R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [6646784 2012-07-28] (ATI Technologies Inc.)
R3 AtiHDAudioService; C:\Windows\System32\drivers\AtihdXP3.sys [103040 2012-05-14] (Advanced Micro Devices)
S3 BCD3000; C:\Windows\System32\Drivers\BCD3000.SYS [47208 2011-05-19] (Behringer)
S3 BCD3000WDM; C:\Windows\System32\Drivers\BCD3000WDM.SYS [27240 2011-05-19] (Behringer)
R3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-14] (Windows (R) Server 2003 DDK provider)
R3 marc2; C:\Windows\System32\DRIVERS\marc2.sys [128374 2006-09-11] (MARIAN)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
S4 IntelIde; No ImagePath
S2 StarOpen; No ImagePath
U1 WS2IFSL;

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:38 - 2013-08-09 23:38 - 01230104 _____ (Farbar) C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 02:06 - 2013-08-09 02:06 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-07-11 19:41 - 2013-07-11 19:41 - 00122079 _____ C:\WINDOWS\KB2834886.log
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$
2013-07-11 19:40 - 2013-07-11 19:40 - 00121983 _____ C:\WINDOWS\KB2803821.log
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2803821_WM9$
2013-07-11 19:30 - 2013-07-11 19:30 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$
2013-07-11 18:32 - 2013-07-11 19:41 - 00127297 _____ C:\WINDOWS\KB2850851.log
2013-07-11 18:31 - 2013-07-11 19:40 - 00126019 _____ C:\WINDOWS\KB2845187.log
2013-07-11 18:30 - 2013-07-11 19:30 - 00013324 _____ C:\WINDOWS\KB2846071.log

==================== One Month Modified Files and Folders =======

2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:38 - 2013-08-09 23:38 - 01230104 _____ (Farbar) C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
2013-08-09 23:38 - 2011-05-19 16:27 - 00000000 ____D F:\\Downloads
2013-08-09 23:36 - 2008-04-14 14:00 - 00013646 _____ C:\WINDOWS\system32\wpa.dbl
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 23:01 - 2011-05-19 15:13 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 22:23 - 2011-05-19 15:06 - 01305818 _____ C:\WINDOWS\WindowsUpdate.log
2013-08-09 22:07 - 2013-02-14 00:48 - 00030793 _____ C:\WINDOWS\setupapi.log
2013-08-09 22:07 - 2011-05-19 15:12 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-08-09 17:28 - 2011-12-29 18:29 - 00524288 _____ C:\WINDOWS\system32\config\ACEEvent.evt
2013-08-09 17:28 - 2011-05-19 15:12 - 00032540 _____ C:\WINDOWS\SchedLgU.Txt
2013-08-09 17:27 - 2011-05-19 15:13 - 00000190 ___SH C:\Dokumente und Einstellungen\Ringa\ntuser.ini
2013-08-09 02:22 - 2011-05-19 15:53 - 00000000 ___RD C:\Programme
2013-08-09 02:07 - 2013-02-14 00:14 - 00000000 ____D C:\Programme\AbiWord
2013-08-09 02:07 - 2011-05-19 15:13 - 00000000 ___RD C:\Dokumente und Einstellungen\Ringa\Startmenü\Programme
2013-08-09 02:06 - 2013-08-09 02:06 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-09 02:02 - 2011-05-19 15:52 - 00186967 _____ C:\WINDOWS\setupact.log
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 19:21 - 2011-05-21 03:01 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB974392$
2013-08-08 19:20 - 2013-05-25 00:30 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Roel
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-08-05 21:18 - 2013-05-25 04:57 - 00004970 _____ F:\\Dokumentjj.rtf
2013-07-30 18:04 - 2011-05-19 15:30 - 00000000 __SHD C:\WINDOWS\CSC
2013-07-27 14:21 - 2013-06-28 15:28 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Cisata
2013-07-25 18:57 - 2012-08-26 00:57 - 00004886 _____ F:\\Dokument.rtf
2013-07-23 19:08 - 2013-05-02 07:39 - 00044654 _____ F:\\word3format.rtf
2013-07-17 08:56 - 2013-02-13 23:55 - 00038072 _____ F:\\word3.doc
2013-07-15 17:32 - 2011-05-19 15:31 - 00000000 ____D C:\WINDOWS\Microsoft.NET
2013-07-13 14:03 - 2012-12-23 15:38 - 00000000 ____D C:\Programme\Microsoft Silverlight
2013-07-13 14:03 - 2011-05-19 15:51 - 00093480 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2013-07-11 19:41 - 2013-07-11 19:41 - 00122079 _____ C:\WINDOWS\KB2834886.log
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$
2013-07-11 19:41 - 2013-07-11 18:32 - 00127297 _____ C:\WINDOWS\KB2850851.log
2013-07-11 19:41 - 2011-05-19 15:53 - 01521974 _____ C:\WINDOWS\iis6.log
2013-07-11 19:41 - 2011-05-19 15:53 - 01358019 _____ C:\WINDOWS\FaxSetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00668376 _____ C:\WINDOWS\ocgen.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00628287 _____ C:\WINDOWS\tsoc.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00461026 _____ C:\WINDOWS\comsetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00423646 _____ C:\WINDOWS\msmqinst.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00278631 _____ C:\WINDOWS\ntdtcsetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00238879 _____ C:\WINDOWS\netfxocm.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00094493 _____ C:\WINDOWS\MedCtrOC.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00076059 _____ C:\WINDOWS\ocmsn.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00068739 _____ C:\WINDOWS\tabletoc.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00068492 _____ C:\WINDOWS\msgsocm.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00001374 _____ C:\WINDOWS\imsins.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00001374 _____ C:\WINDOWS\imsins.BAK
2013-07-11 19:40 - 2013-07-11 19:40 - 00121983 _____ C:\WINDOWS\KB2803821.log
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2803821_WM9$
2013-07-11 19:40 - 2013-07-11 18:31 - 00126019 _____ C:\WINDOWS\KB2845187.log
2013-07-11 19:40 - 2011-05-19 15:53 - 01095912 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-07-11 19:35 - 2011-06-26 12:32 - 75699896 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2013-07-11 19:31 - 2011-05-24 15:18 - 00000000 ____D C:\WINDOWS\system32\XPSViewer
2013-07-11 19:30 - 2013-07-11 19:30 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$
2013-07-11 19:30 - 2013-07-11 18:30 - 00013324 _____ C:\WINDOWS\KB2846071.log
2013-07-11 19:30 - 2011-05-19 15:59 - 00065571 _____ C:\WINDOWS\updspapi.log

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e

C:\Windows\System32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a

C:\Windows\System32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366

C:\Windows\System32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc

C:\Windows\System32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd

C:\Windows\System32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106

C:\Windows\System32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d


==================== End Of Log ============================
LogFile GMER

Code:
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-08-10 00:18:12
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD10EARS-003BB1 rev.80.00A80 931,51GB
Running: s7csvfkj.exe; Driver: C:\DOKUME~1\Ringa\LOKALE~1\Temp\fwloifob.sys


---- Kernel code sections - GMER 2.1 ----

.text  C:\WINDOWS\system32\DRIVERS\ati2mtag.sys  section is writeable [0xB76CF000, 0xE614E, 0xE8000020]

---- EOF - GMER 2.1 ----
Für Eure Mühen vorab vielen Dank.
Ich freue mich auf eure Antwort.

Gruß

schrauber 10.08.2013 05:33
hi,

du kannst definitiv nicht mit nem Stick hin und her wandern, die Platte ohne zu formatieren nicht in einem anderen Rechner nutzen, und ich hoffe du machst auf keinem der Beiden PC Online Banking.

Sollen wir jetzt diesen, von dem die Logs sind, bereinigen?

DieRudy 10.08.2013 09:59
Hallo Schrauber,

vielen Dank für schneller Antwort. Ja, lass uns den Rechner, von dem die Log-Files sind, säubern.

Bzgl. Online-Banking muss ich leider mitteilen, dass an dem 2. online-Banking gemacht wird. Regelmäßig von insg. 3 Konten. Darf ich für diesen PC im Anschluss ein weiteres Thema erstellen, oder neuaufsetzen?

schrauber 10.08.2013 10:08
Wir können den im Anschluss gleich hier im Thema behandeln.
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

DieRudy 10.08.2013 10:37
Hallo und vielen Dank für die Hilfe.
Anbei ComboFix LogFile

Code:
ComboFix 13-08-09.02 - Ringa 10.08.2013  11:29:11.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2416 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ringa\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Ezloe
c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Ezloe\azxo.ulb
c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Fomaw
c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Fomaw\yxesg.okg
c:\windows\EventSystem.log
c:\windows\system32\kock
c:\windows\system32\xmldm
F:\install.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-07-10 bis 2013-08-10  ))))))))))))))))))))))))))))))
.
.
2013-08-10 09:17 . 2013-08-10 09:17        29904        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C9CB25A7-5440-488C-BE2B-0FDC0CBD1B16}\MpKsl8b598497.sys
2013-08-10 02:21 . 2013-07-02 06:54        7143960        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C9CB25A7-5440-488C-BE2B-0FDC0CBD1B16}\mpengine.dll
2013-08-09 21:39 . 2013-08-09 21:39        --------        d-----w-        C:\FRST
2013-08-08 23:54 . 2013-08-09 00:00        --------        d-----w-        c:\programme\Common Files
2013-08-08 15:44 . 2013-08-08 15:44        --------        d-----w-        c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-08-08 15:42 . 2013-08-08 15:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-08-08 15:12 . 2013-07-02 06:54        7143960        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-05 09:08 . 2008-04-14 12:00        1876864        ----a-w-        c:\windows\system32\win32k.sys
2013-06-04 07:22 . 2008-04-14 12:00        563712        ----a-w-        c:\windows\system32\qedit.dll
2013-05-29 07:41 . 2008-04-14 12:00        674304        ----a-w-        c:\windows\system32\wininet.dll
2013-05-29 07:41 . 2008-04-14 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx
2013-05-29 07:41 . 2008-04-14 12:00        81920        ----a-w-        c:\windows\system32\ieencode.dll
2013-05-29 07:40 . 2008-04-14 12:00        371200        ----a-w-        c:\windows\system32\html.iec
2012-02-19 19:48 . 2011-05-19 13:51        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NUSB3MON"="c:\programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-10-21 106496]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-07-27 98304]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BCD3000 Control Panel.lnk - c:\programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe [2011-5-19 548864]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-04-04 21:06        958576        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2013-05-10 07:57        37960        ----a-w-        c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Runmarc2Manager]
2006-09-11 01:06        625152        ----a-r-        c:\windows\system32\marc2nt.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 MpKsl8b598497;MpKsl8b598497;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C9CB25A7-5440-488C-BE2B-0FDC0CBD1B16}\MpKsl8b598497.sys [10.08.2013 11:17 29904]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [29.12.2011 18:04 103040]
R3 marc2;Marc 2;c:\windows\system32\drivers\marc2.sys [19.05.2011 16:17 128374]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [27.10.2009 00:19 58240]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [27.10.2009 00:19 136704]
S3 BCD3000;Behringer BCD3000 V1.2.0.0;c:\windows\system32\drivers\bcd3000.sys [19.05.2011 17:23 47208]
S3 BCD3000WDM;Behringer BCD3000WDM V1.2.0.0;c:\windows\system32\drivers\bcd3000wdm.sys [19.05.2011 17:23 27240]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MPKSL8B598497
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\
FF - ExtSQL: !HIDDEN! 2012-08-31 00:46; {9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}; c:\windows\system32\10001.082
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Ucceec - c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Uwocov\uvyb.exe
HKCU-Run-Ulexhio - c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Kyozg\ugnu.exe
HKCU-Run-Dyfivy - c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Admia\tiarf.exe
HKCU-Run-Ebyrocixy - c:\dokumente und einstellungen\Ringa\Anwendungsdaten\Mauk\irax.exe
HKLM-Run-AVMWlanClient - c:\programme\avmwlanstick\FRITZWLANMini.exe
MSConfigStartUp-BCD3000 - c:\windows\system32\bcd3kcpan.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-08-10 11:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(488)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2013-08-10  11:34:05
ComboFix-quarantined-files.txt  2013-08-10 09:34
.
Vor Suchlauf: 11 Verzeichnis(se), 93.095.985.152 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 96.017.899.520 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 36FE9F17059FBFD4DC970997A24641C1
72B8CE41AF0DE751C946802B3ED844B4
Gruß

schrauber 10.08.2013 10:49
MBAM updaten, Quick Scan, Funde löschen, Log posten.

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST log bitte.

DieRudy 10.08.2013 11:27
Hallo Schrauber,

soweit durchgeführt. Kann aber kein neues FRST Log erstellen.
FRST verweist beim Start auf Outdated Version. Ich stimme der Aktualisierung zu.
Anschließend muss ich wiederholt dem Hinweis "Keine Sichere Internetverbindung - trotzdem fortführen...etc" zustimmen.
Letztlich kann ich FRST nicht starten und erhalte folgende Fehlermeldung:
Line 7605 (File "C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe")
Error: The requested action with this object has failed.

WindowsFirewall und MSE sind seit Durchführung AdwCleaner weiterhin deaktiviert.
Was ist zu tun?

Anbei die anderen LogFiles:

Logfile MBAM

Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.09.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Ringa :: RINGA-B8D53289D [Administrator]

Schutz: Deaktiviert

10.08.2013 11:54:28
mbam-log-2013-08-10 (11-54-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219286
Laufzeit: 2 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
LogFile AdwCleanerS1

Code:
# AdwCleaner v2.306 - Datei am 10/08/2013 um 12:02:21 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Ringa - RINGA-B8D53289D
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Ringa\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v10.0.2 (de)

Datei : C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\prefs.js

C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [894 octets] - [10/08/2013 12:02:21]

########## EOF - C:\AdwCleaner[S1].txt - [953 octets] ##########
LogFile JRT

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.4.1 (08.10.2013:1)
OS: Microsoft Windows XP x86
Ran by Ringa on 10.08.2013 at 12:05:35,96
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Emptied folder: C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\mozilla\firefox\profiles\v1poajrj.default\minidumps [33 files]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10.08.2013 at 12:09:21,25
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gruß

schrauber 10.08.2013 21:10
Lade bitte ne frische Version von hier:
Farbar Recovery Scan Tool Download

DieRudy 10.08.2013 22:48
LogFile FRST


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-08-2013
Ran by Ringa (administrator) on 10-08-2013 23:43:56
Running from C:\Dokumente und Einstellungen\Ringa\Desktop
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\MsMpEng.exe
(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(NEC Electronics Corporation) C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\msseces.exe
(Behringer Spezielle Studiotechnik GmbH) C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe
(Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\plugin-container.exe
(Microsoft Corporation) C:\WINDOWS\system32\msiexec.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NUSB3MON] - C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe [106496 2009-10-21] (NEC Electronics Corporation)
HKLM\...\Run: [MSC] - C:\Programme\Microsoft Security Client\msseces.exe [947152 2013-01-27] (Microsoft Corporation)
HKLM\...\Run: [StartCCC] - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2012-07-27] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
Winlogon\Notify\AtiExtEvent: Ati2evxx.dll (ATI Technologies Inc.)
Winlogon\Notify\WgaLogon: WgaLogon.dll (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BCD3000 Control Panel.lnk
ShortcutTarget: BCD3000 Control Panel.lnk -> C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe (Behringer Spezielle Studiotechnik GmbH)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
Handler: ipp - No CLSID Value -
Handler: msdaipp - No CLSID Value -
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: multilinks - C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\Extensions\multilinks@plugin.xpi
FF Extension: Default - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082
FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082

========================== Services (Whitelisted) =================

S2 MBAMScheduler; C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
R2 MsMpSvc; C:\Programme\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

R3 AR5211; C:\Windows\System32\DRIVERS\ar5211.sys [470048 2005-12-21] (Atheros Communications, Inc.)
R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [6646784 2012-07-28] (ATI Technologies Inc.)
R3 AtiHDAudioService; C:\Windows\System32\drivers\AtihdXP3.sys [103040 2012-05-14] (Advanced Micro Devices)
S3 BCD3000; C:\Windows\System32\Drivers\BCD3000.SYS [47208 2011-05-19] (Behringer)
S3 BCD3000WDM; C:\Windows\System32\Drivers\BCD3000WDM.SYS [27240 2011-05-19] (Behringer)
R3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-14] (Windows (R) Server 2003 DDK provider)
R3 marc2; C:\Windows\System32\DRIVERS\marc2.sys [128374 2006-09-11] (MARIAN)
S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
S3 catchme; \??\C:\DOKUME~1\Ringa\LOKALE~1\Temp\catchme.sys [x]
S4 IntelIde; No ImagePath
S2 StarOpen; No ImagePath

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-10 23:42 - 2013-08-10 23:42 - 01230570 _____ (Farbar) C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
2013-08-10 12:16 - 2013-08-10 12:16 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-10 12:09 - 2013-08-10 12:09 - 00000735 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00001021 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\AdwCleaner[S1].txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00000000 ____D C:\WINDOWS\ERUNT
2013-08-10 12:02 - 2013-08-10 12:02 - 00001021 _____ C:\AdwCleaner[S1].txt
2013-08-10 11:59 - 2013-08-10 12:00 - 00958418 _____ (Oleg N. Scherbakov) C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.exe
2013-08-10 11:58 - 2013-08-10 11:59 - 00666633 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\adwcleaner.exe
2013-08-10 11:53 - 2013-08-10 11:53 - 00000760 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-10 11:52 - 2013-08-10 11:53 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-08-10 11:52 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2013-08-10 11:35 - 2013-08-10 11:35 - 00008199 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.txt
2013-08-10 11:34 - 2013-08-10 11:34 - 00008199 _____ C:\ComboFix.txt
2013-08-10 11:26 - 2013-08-10 11:26 - 00000000 _RSHD C:\cmdcons
2013-08-10 11:26 - 2011-05-19 17:42 - 00000211 _____ C:\Boot.bak
2013-08-10 11:26 - 2004-08-03 23:00 - 00262448 __RSH C:\cmldr
2013-08-10 11:23 - 2013-08-10 11:34 - 00000000 ____D C:\Qoobox
2013-08-10 11:23 - 2013-08-10 11:23 - 00000000 ___RD F:\\Eigene Videos
2013-08-10 11:23 - 2011-06-26 08:45 - 00256000 _____ C:\WINDOWS\PEV.exe
2013-08-10 11:23 - 2010-11-07 19:20 - 00208896 _____ C:\WINDOWS\MBR.exe
2013-08-10 11:23 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00098816 _____ C:\WINDOWS\sed.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00080412 _____ C:\WINDOWS\grep.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00068096 _____ C:\WINDOWS\zip.exe
2013-08-10 11:22 - 2013-08-10 11:33 - 00000000 ____D C:\WINDOWS\erdnt
2013-08-10 11:19 - 2013-08-10 11:20 - 05102523 ____R (Swearware) C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.exe
2013-08-10 04:20 - 2013-08-10 04:20 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer2.txt
2013-08-10 00:18 - 2013-08-10 00:18 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer.txt
2013-08-09 23:43 - 2013-08-09 23:43 - 00377856 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\s7csvfkj.exe
2013-08-09 23:40 - 2013-08-09 23:40 - 00026201 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Addition.txt
2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-08-08 17:41 - 2013-08-08 17:42 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Dokumente und Einstellungen\Ringa\Desktop\mbam-setup-1.75.0.1300.exe
2013-07-11 19:41 - 2013-07-11 19:41 - 00122079 _____ C:\WINDOWS\KB2834886.log
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$
2013-07-11 19:40 - 2013-07-11 19:40 - 00121983 _____ C:\WINDOWS\KB2803821.log
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2803821_WM9$
2013-07-11 19:30 - 2013-07-11 19:30 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$
2013-07-11 18:32 - 2013-07-11 19:41 - 00127297 _____ C:\WINDOWS\KB2850851.log
2013-07-11 18:31 - 2013-07-11 19:40 - 00126019 _____ C:\WINDOWS\KB2845187.log
2013-07-11 18:30 - 2013-07-11 19:30 - 00013324 _____ C:\WINDOWS\KB2846071.log

==================== One Month Modified Files and Folders =======

2013-08-10 23:43 - 2013-08-10 23:43 - 00000000 ____D C:\Programme\7-Zip
2013-08-10 23:43 - 2011-05-19 16:27 - 00000000 ____D F:\\Downloads
2013-08-10 23:43 - 2011-05-19 15:53 - 00000000 ___RD C:\Programme
2013-08-10 23:42 - 2013-08-10 23:42 - 01230570 _____ (Farbar) C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
2013-08-10 23:39 - 2011-05-19 15:06 - 01516605 _____ C:\WINDOWS\WindowsUpdate.log
2013-08-10 23:38 - 2011-05-19 15:12 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-08-10 23:38 - 2008-04-14 14:00 - 00013646 _____ C:\WINDOWS\system32\wpa.dbl
2013-08-10 14:21 - 2011-12-29 18:29 - 00524288 _____ C:\WINDOWS\system32\config\ACEEvent.evt
2013-08-10 14:21 - 2011-05-19 15:13 - 00000190 ___SH C:\Dokumente und Einstellungen\Ringa\ntuser.ini
2013-08-10 14:21 - 2011-05-19 15:12 - 00032540 _____ C:\WINDOWS\SchedLgU.Txt
2013-08-10 12:16 - 2013-08-10 12:16 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-10 12:09 - 2013-08-10 12:09 - 00000735 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00001021 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\AdwCleaner[S1].txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00000000 ____D C:\WINDOWS\ERUNT
2013-08-10 12:02 - 2013-08-10 12:02 - 00001021 _____ C:\AdwCleaner[S1].txt
2013-08-10 12:00 - 2013-08-10 11:59 - 00958418 _____ (Oleg N. Scherbakov) C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.exe
2013-08-10 11:59 - 2013-08-10 11:58 - 00666633 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\adwcleaner.exe
2013-08-10 11:53 - 2013-08-10 11:53 - 00000760 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-10 11:53 - 2013-08-10 11:52 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-08-10 11:35 - 2013-08-10 11:35 - 00008199 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.txt
2013-08-10 11:34 - 2013-08-10 11:34 - 00008199 _____ C:\ComboFix.txt
2013-08-10 11:34 - 2013-08-10 11:23 - 00000000 ____D C:\Qoobox
2013-08-10 11:33 - 2013-08-10 11:22 - 00000000 ____D C:\WINDOWS\erdnt
2013-08-10 11:32 - 2008-04-14 14:00 - 00000227 _____ C:\WINDOWS\system.ini
2013-08-10 11:30 - 2012-08-04 14:39 - 00000000 ____D F:\\Recycled
2013-08-10 11:26 - 2013-08-10 11:26 - 00000000 _RSHD C:\cmdcons
2013-08-10 11:26 - 2011-05-19 16:50 - 00000327 __RSH C:\boot.ini
2013-08-10 11:23 - 2013-08-10 11:23 - 00000000 ___RD F:\\Eigene Videos
2013-08-10 11:20 - 2013-08-10 11:19 - 05102523 ____R (Swearware) C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.exe
2013-08-10 11:17 - 2013-02-14 00:48 - 00031427 _____ C:\WINDOWS\setupapi.log
2013-08-10 04:20 - 2013-08-10 04:20 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer2.txt
2013-08-10 03:59 - 2011-05-19 15:57 - 00000216 _____ C:\WINDOWS\wiadebug.log
2013-08-10 03:33 - 2011-05-19 15:57 - 00000050 _____ C:\WINDOWS\wiaservc.log
2013-08-10 00:18 - 2013-08-10 00:18 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer.txt
2013-08-09 23:43 - 2013-08-09 23:43 - 00377856 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\s7csvfkj.exe
2013-08-09 23:40 - 2013-08-09 23:40 - 00026201 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Addition.txt
2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 23:01 - 2011-05-19 15:13 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 02:07 - 2013-02-14 00:14 - 00000000 ____D C:\Programme\AbiWord
2013-08-09 02:07 - 2011-05-19 15:13 - 00000000 ___RD C:\Dokumente und Einstellungen\Ringa\Startmenü\Programme
2013-08-09 02:02 - 2011-05-19 15:52 - 00186967 _____ C:\WINDOWS\setupact.log
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 19:21 - 2011-05-21 03:01 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB974392$
2013-08-08 19:20 - 2013-05-25 00:30 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Roel
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-08-08 17:42 - 2013-08-08 17:41 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Dokumente und Einstellungen\Ringa\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-05 21:18 - 2013-05-25 04:57 - 00004970 _____ F:\\Dokumentjj.rtf
2013-07-30 18:04 - 2011-05-19 15:30 - 00000000 __SHD C:\WINDOWS\CSC
2013-07-27 14:21 - 2013-06-28 15:28 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Cisata
2013-07-25 18:57 - 2012-08-26 00:57 - 00004886 _____ F:\\Dokument.rtf
2013-07-23 19:08 - 2013-05-02 07:39 - 00044654 _____ F:\\word3format.rtf
2013-07-17 08:56 - 2013-02-13 23:55 - 00038072 _____ F:\\word3.doc
2013-07-15 17:32 - 2011-05-19 15:31 - 00000000 ____D C:\WINDOWS\Microsoft.NET
2013-07-13 14:03 - 2012-12-23 15:38 - 00000000 ____D C:\Programme\Microsoft Silverlight
2013-07-13 14:03 - 2011-05-19 15:51 - 00093480 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2013-07-11 19:41 - 2013-07-11 19:41 - 00122079 _____ C:\WINDOWS\KB2834886.log
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2850851$
2013-07-11 19:41 - 2013-07-11 19:41 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2834886$
2013-07-11 19:41 - 2013-07-11 18:32 - 00127297 _____ C:\WINDOWS\KB2850851.log
2013-07-11 19:41 - 2011-05-19 15:53 - 01521974 _____ C:\WINDOWS\iis6.log
2013-07-11 19:41 - 2011-05-19 15:53 - 01358019 _____ C:\WINDOWS\FaxSetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00668376 _____ C:\WINDOWS\ocgen.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00628287 _____ C:\WINDOWS\tsoc.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00461026 _____ C:\WINDOWS\comsetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00423646 _____ C:\WINDOWS\msmqinst.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00278631 _____ C:\WINDOWS\ntdtcsetup.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00238879 _____ C:\WINDOWS\netfxocm.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00094493 _____ C:\WINDOWS\MedCtrOC.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00076059 _____ C:\WINDOWS\ocmsn.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00068739 _____ C:\WINDOWS\tabletoc.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00068492 _____ C:\WINDOWS\msgsocm.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00001374 _____ C:\WINDOWS\imsins.log
2013-07-11 19:41 - 2011-05-19 15:53 - 00001374 _____ C:\WINDOWS\imsins.BAK
2013-07-11 19:40 - 2013-07-11 19:40 - 00121983 _____ C:\WINDOWS\KB2803821.log
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2845187$
2013-07-11 19:40 - 2013-07-11 19:40 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2803821_WM9$
2013-07-11 19:40 - 2013-07-11 18:31 - 00126019 _____ C:\WINDOWS\KB2845187.log
2013-07-11 19:40 - 2011-05-19 15:53 - 01095912 _____ C:\WINDOWS\system32\PerfStringBackup.INI
2013-07-11 19:35 - 2011-06-26 12:32 - 75699896 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2013-07-11 19:31 - 2011-05-24 15:18 - 00000000 ____D C:\WINDOWS\system32\XPSViewer
2013-07-11 19:30 - 2013-07-11 19:30 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB2846071$
2013-07-11 19:30 - 2013-07-11 18:30 - 00013324 _____ C:\WINDOWS\KB2846071.log
2013-07-11 19:30 - 2011-05-19 15:59 - 00065571 _____ C:\WINDOWS\updspapi.log

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e

C:\Windows\System32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a

C:\Windows\System32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366

C:\Windows\System32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc

C:\Windows\System32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd

C:\Windows\System32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106

C:\Windows\System32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d


==================== End Of Log ============================
--- --- ---

schrauber 11.08.2013 08:19

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

DieRudy 11.08.2013 12:12
Hallo Schrauber,

also Probleme merke ich nach wie vor erstmal keine....
Aber die LogFiles sprechen wohl eine andere Sprache :-(

ESET LogFile

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=1be0cd10e430ee4983a7e8022a0e83c8
# engine=14731
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-11 10:56:48
# local_time=2013-08-11 12:56:48 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5892 16777213 88 94 13998414 39421219 0 0
# scanned=111113
# found=2
# cleaned=0
# scan_time=3079
sh=8BE18F7B1C4267377FAE0F692E37133C41C1988E ft=1 fh=1439e8f72f02c7d4 vn="a variant of Win32/Adware.iBryte.G application" ac=I fn="C:\System Volume Information\_restore{71502D14-FE0E-4922-B5B5-66A6A0F1E72D}\RP393\A0067307.exe"
sh=DF9563F4127E78AF6D412656F149C720F55F52C5 ft=1 fh=eae7d91dc15a3316 vn="a variant of Win32/Spy.Banker.YPK trojan" ac=I fn="C:\WINDOWS\system32\10001.082\components\AcroFF.dll"
SecurityCheck LogFile

Code:
Results of screen317's Security Check version 0.99.71 
 Windows XP Service Pack 3 x86 
 Internet Explorer 6 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Warten Sie, w„hrend WMIC installiert wird.d
i
s
p
l
a
y
N
a
m
e
ECHO ist ausgeschaltet (OFF).
M
i
c
r
o
s
o
f
t
ECHO ist ausgeschaltet (OFF).
S
e
c
u
r
i
t
y
ECHO ist ausgeschaltet (OFF).
E
s
e
n
t
i
a
l
s
ECHO ist ausgeschaltet (OFF).
 Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
 Malwarebytes Anti-Malware Version 1.75.0.1300 
 Adobe Flash Player 10 Flash Player out of Date!
  Adobe Flash Player        10.3.181.14 Flash Player out of Date! 
 Adobe Reader 10.1.7 Adobe Reader out of Date! 
 Mozilla Firefox 10.0.2 Firefox out of Date! 
````````Process Check: objlist.exe by Laurent```````` 
 Microsoft Security Essentials MSMpEng.exe
 Microsoft Security Essentials msseces.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:: 
````````````````````End of Log``````````````````````

FRST LogFile


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-08-2013
Ran by Ringa (administrator) on 11-08-2013 13:05:55
Running from C:\Dokumente und Einstellungen\Ringa\Desktop
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\MsMpEng.exe
(ATI Technologies Inc.) C:\WINDOWS\system32\Ati2evxx.exe
(NEC Electronics Corporation) C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
(Microsoft Corporation) C:\Programme\Microsoft Security Client\msseces.exe
(Advanced Micro Devices Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(ATI Technologies Inc.) C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
(Behringer Spezielle Studiotechnik GmbH) C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe
(Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NUSB3MON] - C:\Programme\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe [106496 2009-10-21] (NEC Electronics Corporation)
HKLM\...\Run: [MSC] - C:\Programme\Microsoft Security Client\msseces.exe [947152 2013-01-27] (Microsoft Corporation)
HKLM\...\Run: [StartCCC] - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2012-07-27] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
Winlogon\Notify\AtiExtEvent: Ati2evxx.dll (ATI Technologies Inc.)
Winlogon\Notify\WgaLogon: WgaLogon.dll (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BCD3000 Control Panel.lnk
ShortcutTarget: BCD3000 Control Panel.lnk -> C:\Programme\Behringer\BCD3000\Drivers\bcd3kcpan.exe (Behringer Spezielle Studiotechnik GmbH)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU -&Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation)
Handler: ipp - No CLSID Value -
Handler: msdaipp - No CLSID Value -
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default
FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: multilinks - C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Mozilla\Firefox\Profiles\v1poajrj.default\Extensions\multilinks@plugin.xpi
FF Extension: Default - C:\Programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082
FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] C:\WINDOWS\system32\10001.082
FF Extension: Java Link Helper - C:\WINDOWS\system32\10001.082

========================== Services (Whitelisted) =================

S2 MBAMScheduler; C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
R2 MsMpSvc; C:\Programme\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

R3 AR5211; C:\Windows\System32\DRIVERS\ar5211.sys [470048 2005-12-21] (Atheros Communications, Inc.)
R3 ati2mtag; C:\Windows\System32\DRIVERS\ati2mtag.sys [6646784 2012-07-28] (ATI Technologies Inc.)
R3 AtiHDAudioService; C:\Windows\System32\drivers\AtihdXP3.sys [103040 2012-05-14] (Advanced Micro Devices)
S3 BCD3000; C:\Windows\System32\Drivers\BCD3000.SYS [47208 2011-05-19] (Behringer)
S3 BCD3000WDM; C:\Windows\System32\Drivers\BCD3000WDM.SYS [27240 2011-05-19] (Behringer)
R3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-14] (Windows (R) Server 2003 DDK provider)
R3 marc2; C:\Windows\System32\DRIVERS\marc2.sys [128374 2006-09-11] (MARIAN)
S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
S3 catchme; \??\C:\DOKUME~1\Ringa\LOKALE~1\Temp\catchme.sys [x]
S4 IntelIde; No ImagePath
S2 StarOpen; No ImagePath

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-11 13:03 - 2013-08-11 13:03 - 00001375 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\SecurityCheck.txt
2013-08-11 13:01 - 2013-08-11 13:01 - 00001056 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\ESET.txt
2013-08-11 11:59 - 2013-08-11 11:59 - 00891098 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\SecurityCheck.exe
2013-08-11 11:57 - 2013-08-11 11:57 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Ringa\Desktop\esetsmartinstaller_enu.exe
2013-08-10 23:43 - 2013-08-10 23:43 - 00000000 ____D C:\Programme\7-Zip
2013-08-10 12:16 - 2013-08-10 12:16 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-10 12:09 - 2013-08-10 12:09 - 00000735 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00001021 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\AdwCleaner[S1].txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00000000 ____D C:\WINDOWS\ERUNT
2013-08-10 12:02 - 2013-08-10 12:02 - 00001021 _____ C:\AdwCleaner[S1].txt
2013-08-10 11:59 - 2013-08-10 12:00 - 00958418 _____ (Oleg N. Scherbakov) C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.exe
2013-08-10 11:58 - 2013-08-10 11:59 - 00666633 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\adwcleaner.exe
2013-08-10 11:53 - 2013-08-10 11:53 - 00000760 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-10 11:52 - 2013-08-10 11:53 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-08-10 11:52 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2013-08-10 11:35 - 2013-08-10 11:35 - 00008199 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.txt
2013-08-10 11:34 - 2013-08-10 11:34 - 00008199 _____ C:\ComboFix.txt
2013-08-10 11:26 - 2013-08-10 11:26 - 00000000 _RSHD C:\cmdcons
2013-08-10 11:26 - 2011-05-19 17:42 - 00000211 _____ C:\Boot.bak
2013-08-10 11:26 - 2004-08-03 23:00 - 00262448 __RSH C:\cmldr
2013-08-10 11:23 - 2013-08-10 11:34 - 00000000 ____D C:\Qoobox
2013-08-10 11:23 - 2013-08-10 11:23 - 00000000 ___RD F:\\Eigene Videos
2013-08-10 11:23 - 2011-06-26 08:45 - 00256000 _____ C:\WINDOWS\PEV.exe
2013-08-10 11:23 - 2010-11-07 19:20 - 00208896 _____ C:\WINDOWS\MBR.exe
2013-08-10 11:23 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00098816 _____ C:\WINDOWS\sed.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00080412 _____ C:\WINDOWS\grep.exe
2013-08-10 11:23 - 2000-08-31 02:00 - 00068096 _____ C:\WINDOWS\zip.exe
2013-08-10 11:22 - 2013-08-10 11:33 - 00000000 ____D C:\WINDOWS\erdnt
2013-08-10 11:19 - 2013-08-10 11:20 - 05102523 ____R (Swearware) C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.exe
2013-08-10 04:20 - 2013-08-10 04:20 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer2.txt
2013-08-10 00:18 - 2013-08-10 00:18 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer.txt
2013-08-09 23:43 - 2013-08-09 23:43 - 00377856 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\s7csvfkj.exe
2013-08-09 23:40 - 2013-08-09 23:40 - 00026201 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Addition.txt
2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-08-08 17:41 - 2013-08-08 17:42 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Dokumente und Einstellungen\Ringa\Desktop\mbam-setup-1.75.0.1300.exe

==================== One Month Modified Files and Folders =======

2013-08-11 13:05 - 2013-08-11 13:05 - 01230570 _____ (Farbar) C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
2013-08-11 13:05 - 2011-05-19 16:27 - 00000000 ____D F:\\Downloads
2013-08-11 13:05 - 2011-05-19 15:06 - 01580396 _____ C:\WINDOWS\WindowsUpdate.log
2013-08-11 13:03 - 2013-08-11 13:03 - 00001375 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\SecurityCheck.txt
2013-08-11 13:02 - 2011-05-19 15:53 - 00000000 ___RD C:\Programme
2013-08-11 13:01 - 2013-08-11 13:01 - 00001056 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\ESET.txt
2013-08-11 11:59 - 2013-08-11 11:59 - 00891098 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\SecurityCheck.exe
2013-08-11 11:57 - 2013-08-11 11:57 - 02347384 _____ (ESET) C:\Dokumente und Einstellungen\Ringa\Desktop\esetsmartinstaller_enu.exe
2013-08-11 11:44 - 2011-05-19 15:12 - 00000006 ____H C:\WINDOWS\Tasks\SA.DAT
2013-08-11 11:44 - 2008-04-14 14:00 - 00013646 _____ C:\WINDOWS\system32\wpa.dbl
2013-08-11 00:21 - 2011-12-29 18:29 - 00524288 _____ C:\WINDOWS\system32\config\ACEEvent.evt
2013-08-11 00:21 - 2011-05-19 15:13 - 00000190 ___SH C:\Dokumente und Einstellungen\Ringa\ntuser.ini
2013-08-11 00:21 - 2011-05-19 15:12 - 00032540 _____ C:\WINDOWS\SchedLgU.Txt
2013-08-10 23:43 - 2013-08-10 23:43 - 00000000 ____D C:\Programme\7-Zip
2013-08-10 12:16 - 2013-08-10 12:16 - 00000000 ____D C:\WINDOWS\system32\xmldm
2013-08-10 12:09 - 2013-08-10 12:09 - 00000735 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00001021 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\AdwCleaner[S1].txt
2013-08-10 12:05 - 2013-08-10 12:05 - 00000000 ____D C:\WINDOWS\ERUNT
2013-08-10 12:02 - 2013-08-10 12:02 - 00001021 _____ C:\AdwCleaner[S1].txt
2013-08-10 12:00 - 2013-08-10 11:59 - 00958418 _____ (Oleg N. Scherbakov) C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.exe
2013-08-10 11:59 - 2013-08-10 11:58 - 00666633 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\adwcleaner.exe
2013-08-10 11:53 - 2013-08-10 11:53 - 00000760 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-10 11:53 - 2013-08-10 11:52 - 00000000 ____D C:\Programme\Malwarebytes' Anti-Malware
2013-08-10 11:35 - 2013-08-10 11:35 - 00008199 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.txt
2013-08-10 11:34 - 2013-08-10 11:34 - 00008199 _____ C:\ComboFix.txt
2013-08-10 11:34 - 2013-08-10 11:23 - 00000000 ____D C:\Qoobox
2013-08-10 11:33 - 2013-08-10 11:22 - 00000000 ____D C:\WINDOWS\erdnt
2013-08-10 11:32 - 2008-04-14 14:00 - 00000227 _____ C:\WINDOWS\system.ini
2013-08-10 11:30 - 2012-08-04 14:39 - 00000000 ____D F:\\Recycled
2013-08-10 11:26 - 2013-08-10 11:26 - 00000000 _RSHD C:\cmdcons
2013-08-10 11:26 - 2011-05-19 16:50 - 00000327 __RSH C:\boot.ini
2013-08-10 11:23 - 2013-08-10 11:23 - 00000000 ___RD F:\\Eigene Videos
2013-08-10 11:20 - 2013-08-10 11:19 - 05102523 ____R (Swearware) C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.exe
2013-08-10 11:17 - 2013-02-14 00:48 - 00031427 _____ C:\WINDOWS\setupapi.log
2013-08-10 04:20 - 2013-08-10 04:20 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer2.txt
2013-08-10 03:59 - 2011-05-19 15:57 - 00000216 _____ C:\WINDOWS\wiadebug.log
2013-08-10 03:33 - 2011-05-19 15:57 - 00000050 _____ C:\WINDOWS\wiaservc.log
2013-08-10 00:18 - 2013-08-10 00:18 - 00000461 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Gmer.txt
2013-08-09 23:43 - 2013-08-09 23:43 - 00377856 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\s7csvfkj.exe
2013-08-09 23:40 - 2013-08-09 23:40 - 00026201 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Addition.txt
2013-08-09 23:39 - 2013-08-09 23:39 - 00000000 ____D C:\FRST
2013-08-09 23:01 - 2013-08-09 23:01 - 00000472 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
2013-08-09 23:01 - 2013-08-09 23:01 - 00000000 _____ C:\Dokumente und Einstellungen\Ringa\defogger_reenable
2013-08-09 23:01 - 2011-05-19 15:13 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa
2013-08-09 22:59 - 2013-08-09 22:59 - 00050477 _____ C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
2013-08-09 02:07 - 2013-02-14 00:14 - 00000000 ____D C:\Programme\AbiWord
2013-08-09 02:07 - 2011-05-19 15:13 - 00000000 ___RD C:\Dokumente und Einstellungen\Ringa\Startmenü\Programme
2013-08-09 02:02 - 2011-05-19 15:52 - 00186967 _____ C:\WINDOWS\setupact.log
2013-08-09 01:55 - 2013-08-09 01:55 - 00000000 ____D C:\WINDOWS\system32\appmgmt
2013-08-08 19:21 - 2011-05-21 03:01 - 00000000 __HDC C:\WINDOWS\$NtUninstallKB974392$
2013-08-08 19:20 - 2013-05-25 00:30 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Roel
2013-08-08 17:44 - 2013-08-08 17:44 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Malwarebytes
2013-08-08 17:42 - 2013-08-08 17:41 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Dokumente und Einstellungen\Ringa\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-05 21:18 - 2013-05-25 04:57 - 00004970 _____ F:\\Dokumentjj.rtf
2013-07-30 18:04 - 2011-05-19 15:30 - 00000000 __SHD C:\WINDOWS\CSC
2013-07-27 14:21 - 2013-06-28 15:28 - 00000000 ____D C:\Dokumente und Einstellungen\Ringa\Anwendungsdaten\Cisata
2013-07-25 18:57 - 2012-08-26 00:57 - 00004886 _____ F:\\Dokument.rtf
2013-07-23 19:08 - 2013-05-02 07:39 - 00044654 _____ F:\\word3format.rtf
2013-07-17 08:56 - 2013-02-13 23:55 - 00038072 _____ F:\\word3.doc
2013-07-15 17:32 - 2011-05-19 15:31 - 00000000 ____D C:\WINDOWS\Microsoft.NET
2013-07-13 14:03 - 2012-12-23 15:38 - 00000000 ____D C:\Programme\Microsoft Silverlight
2013-07-13 14:03 - 2011-05-19 15:51 - 00093480 _____ C:\WINDOWS\system32\FNTCACHE.DAT

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e

C:\Windows\System32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a

C:\Windows\System32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366

C:\Windows\System32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc

C:\Windows\System32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd

C:\Windows\System32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106

C:\Windows\System32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d


==================== End Of Log ============================
--- --- ---


PS: Ich hoffe es war richtig, den USB-Stick erst jetzt (gem. Anweisung vor ESET) angesteckt zu haben.

LG

schrauber 11.08.2013 16:29
Adobe, Flash und Firefox updaten.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
C:\WINDOWS\system32\10001.082\components\AcroFF.dll

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.



Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Fertig :)

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

DieRudy 11.08.2013 18:12
Hi,
Adobe Reader, Firefox & Flash Player geupdatet (Download vom Hersteller + Installation).

Habe jetzt die Fixlog.txt mit FRST erstellt. Huch...? Wo ist die Fixlist.txt? Sie ist nicht auf dem Desktop! Habe ich etwa die selbsterstellte Fixlist versehentlich als Fixlog benannt?

Mmmh.., ich bin unsicher... am Besten alles auf Anfang und nochmal von vorn!
Fixlist erstellt, FRST gestartet, genau aufgepasst und ohh.. die Fixlistdatei verschwindet automatisch! Sorry, dass wusste ich nicht.

Ok, dann hol ich mal die erste Fixlog aus dem Paierkorb und sende dir beide.

Fixlog (2. Durchgang / Nachfolge-Fixlog-Datei)

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-08-2013
Ran by Ringa at 2013-08-11 18:50:29 Run:2
Running from C:\Dokumente und Einstellungen\Ringa\Desktop
Boot Mode: Normal

==============================================

"C:\WINDOWS\system32\10001.082\components\AcroFF.dll" => File/Directory not found.

==== End of Fixlog ====
Fixlog (1. Durchgang)
Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-08-2013
Ran by Ringa at 2013-08-11 18:46:12 Run:1
Running from C:\Dokumente und Einstellungen\Ringa\Desktop
Boot Mode: Normal

==============================================

C:\WINDOWS\system32\10001.082\components\AcroFF.dll => Moved successfully.

==== End of Fixlog ====
Offensichtlich unterscheiden sich beide Fixlog´s (moved OK vs. NOT found). Kann ich ohne weiteres mit TFC fohrtfahren?

schrauber 12.08.2013 07:52
Ja passt :)

DieRudy 12.08.2013 15:15
Hi,

also vorab erstmal ein riesen Lob für die Unterstützung. Das klappt ja wirklich super mit dir!

Habe entsprechend der Reihenfolge der Anleitung alles durchgeführt.
Danach MBAM deinstalliert (inkl. cleaner.exe).
Nach Neustart MSE, Windows Firewall & autom. Updates wieder aktiviert.

Dann war ich irgendwie doch neugierig, also MBAM wieder installiert und vollständigen Suchlauf gestartet. Leider mit folgendem Ergebnis...

Ergebnbis: Stolen.Data
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.12.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Ringa :: RINGA-B8D53289D [Administrator]

12.08.2013 13:50:15
MBAM-log-2013-08-12 (15-47-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 309665
Laufzeit: 1 Stunde(n), 11 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Für mich als Leihe hört sich dass irgenwie nicht so glücklich an, oder?

Falls benötigt, hier noch das DelFix-Log

Code:
# DelFix v10.4 - Datei am 12/08/2013 um 13:24:30 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Benutzer : Ringa - RINGA-B8D53289D
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

~ Entferne die Bereinigungsprogramme ...

Gelöscht : C:\FRST
Gelöscht : C:\AdwCleaner[S1].txt
Gelöscht : C:\ComboFix.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\Addition.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\adwcleaner.exe
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\AdwCleaner[S1].txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\ComboFix.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\Defogger.exe
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_disable.log
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\defogger_enable.log
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\esetsmartinstaller_enu.exe
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\Fixlog1.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\Fixlog2.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.exe
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\FRST.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.exe
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\JRT.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\SecurityCheck.exe
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\SecurityCheck.txt
Gelöscht : C:\Dokumente und Einstellungen\Ringa\Desktop\TFC.exe
Gelöscht : HKLM\SOFTWARE\OldTimer Tools
Gelöscht : HKLM\SOFTWARE\AdwCleaner
Gelöscht : HKLM\SOFTWARE\Swearware

~ Erstelle ein Backup der Registrierungsdatenbank ... OK

~ Lösche die Wiederherstellungspunkte ...

Gelöscht : RP #395 [Systemprüfpunkt | 08/12/2013 11:22:14]

Ein neuer Wiederherstellungspunkt wurde erstellt !

~ Stelle die Systemeinstellungen wieder her ... OK

########## - EOF - ##########

schrauber 12.08.2013 17:36
ein inaktiver Ordner, sonst wäre er schon vorher angemeckert worden von einem der anderen Tools. einfach löschen und gut :)

Passwörter ändern ist bei Befall eh Standard und sollte immer gemacht werden.

DieRudy 12.08.2013 19:57
XP-Rechner (der Bereinigte)
Wunderbar! Ordner gelöscht und MBAM-Scan ohne Befund.
Kann ich jetzt die 2. Festplatte in den anderen (VISTA-)Rechner einbauen?

VISTA-Rechner
Der Vista Rechner wird u. A. für Online-Banking genutzt.
Auch wurden damals Wechselmedien (USB-Sticks, SD-Karten, Handys) angeschlossen, die vorher am infizierten XP-Rechner hingen.

Soeben allg. allgemeine TB-Start-Anleitung durchgegangen.
Defogger und FRST ohne Probleme.
Bei GMER folgende Fehlermeldung: Kein Datenträger. \Device\Harddisk2\DR2
Hinweis: Vor GMER Benutzerkontensteuerung deaktiviert -> Neustart war erforderlich.

FRST (VISTA)

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 11-08-2013 02
Ran by Carolin (administrator) on 12-08-2013 19:57:50
Running from C:\Users\Carolin\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(AVM Berlin) C:\Program Files\avmwlanstick\WLanGUI.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe
(AVM Berlin) C:\Program Files\avmwlanstick\WlanNetService.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
() C:\Windows\system32\PSIService.exe
(Microsoft Corporation) C:\Windows\system32\wbem\unsecapp.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Windows Defender] - C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-19] (Microsoft Corporation)
HKLM\...\Run: [JMB36X IDE Setup] - C:\Windows\RaidTool\xInsIDE.exe [36864 2007-03-21] ()
HKLM\...\Run: [AVMWlanClient] - C:\Program Files\avmwlanstick\wlangui.exe [1454080 2006-12-28] (AVM Berlin)
HKLM\...\Run: [MSC] - c:\Program Files\Microsoft Security Client\msseces.exe [995176 2013-06-20] (Microsoft Corporation)
HKLM\...\Run: [nwiz] - C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [1982312 2012-10-10] ()
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-03] (Adobe Systems Incorporated)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation)
MountPoints2: {36ad8f8a-f7a2-11de-b4dd-001a4d44cfee} - E:\pushinst.exe
HKU\Default\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-11] (Microsoft Corporation)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-11] (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
Handler: msdaipp - No CLSID Value -
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default
FF Homepage: www.google.de
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @mcafee.com/McAfeeMssPlugin - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: @protectdisc.com/NPPDLicenseHelper - C:\Users\Carolin\AppData\Roaming\ProtectDisc\License Helper v2\NPPDLicenseHelper.dll ( )
FF Extension: No Name - C:\Users\Carolin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
FF Extension: Microsoft .NET Framework Assistant - C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF Extension: No Name - C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default\Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

========================== Services (Whitelisted) =================

R2 AVM WLAN Connection Service; C:\Program Files\avmwlanstick\WlanNetService.exe [356352 2006-12-28] (AVM Berlin)
R2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [22208 2013-06-20] (Microsoft Corporation)
R3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [295376 2013-06-20] (Microsoft Corporation)
R2 ProtexisLicensing; C:\Windows\system32\PSIService.exe [177704 2007-06-05] ()

==================== Drivers (Whitelisted) ====================

R2 acedrv11; C:\Windows\system32\drivers\acedrv11.sys [185472 2010-02-24] (Protect Software GmbH)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2006-12-28] (AVM Berlin)
R3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2007-01-26] (AVM GmbH)
S3 gdrv; C:\Windows\gdrv.sys [15600 2009-11-22] (Windows (R) 2000 DDK provider)
R0 JRAID; C:\Windows\System32\DRIVERS\jraid.sys [83296 2008-11-04] (JMicron Technology Corp.)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [211560 2013-06-18] (Microsoft Corporation)
R1 MpKsle01fe309; c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A187E06C-D992-461B-BF25-2C380F9A6A63}\MpKsle01fe309.sys [29904 2013-08-12] (Microsoft Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-12 19:55 - 2013-08-12 19:56 - 00000476 _____ C:\Users\Carolin\Desktop\defogger_disable.log
2013-08-12 19:55 - 2013-08-12 19:55 - 00000000 _____ C:\Users\Carolin\defogger_reenable
2013-08-12 19:53 - 2013-08-12 19:53 - 00377856 _____ C:\Users\Carolin\Desktop\gmer_2.1.19163.exe
2013-08-12 19:52 - 2013-08-12 19:52 - 01068593 _____ (Farbar) C:\Users\Carolin\Desktop\FRST.exe
2013-08-12 19:49 - 2013-08-12 19:49 - 00050477 _____ C:\Users\Carolin\Desktop\Defogger.exe
2013-08-09 23:15 - 2013-08-09 23:23 - 00000000 ____D C:\Users\Carolin\Documents\Vistaprint Fotobücher
2013-08-08 17:40 - 2013-08-08 17:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000912 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-08 17:39 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-08-08 17:37 - 2013-08-08 17:37 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Carolin\Desktop\mbam-setup-1.75.0.1300.exe
2013-07-19 17:21 - 2013-07-19 17:25 - 00000000 ____D C:\Windows\system32\MRT
2013-07-13 21:14 - 2013-06-04 03:50 - 02049024 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-13 21:13 - 2013-06-01 06:06 - 00505344 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-13 21:13 - 2013-05-29 13:30 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-13 21:13 - 2013-05-29 13:30 - 00916480 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-13 21:13 - 2013-05-29 13:30 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-07-13 21:13 - 2013-05-29 13:28 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2013-07-13 21:13 - 2013-05-29 13:26 - 06016000 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-13 21:13 - 2013-05-29 13:26 - 00611840 _____ (Microsoft Corporation) C:\Windows\system32\mstime.dll
2013-07-13 21:13 - 2013-05-29 13:26 - 00067072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-07-13 21:13 - 2013-05-29 13:25 - 00630272 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-13 21:13 - 2013-05-29 13:25 - 00055296 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2013-07-13 21:13 - 2013-05-29 13:25 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2013-07-13 21:13 - 2013-05-29 13:25 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 11111424 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 02004992 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 01469440 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-07-13 21:13 - 2013-05-29 13:24 - 00387584 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 00184320 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 00164352 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-07-13 21:13 - 2013-05-29 13:24 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-07-13 21:13 - 2013-05-29 11:47 - 00385024 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2013-07-13 21:13 - 2013-05-29 10:07 - 00133632 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-07-13 21:13 - 2013-05-29 10:06 - 00174080 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-07-13 21:13 - 2013-05-29 10:05 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe
2013-07-13 21:13 - 2013-05-29 10:04 - 01638912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-13 21:13 - 2013-05-08 06:04 - 01548288 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-13 21:13 - 2013-04-17 13:28 - 01029120 _____ (Microsoft Corporation) C:\Windows\system32\d3d10.dll
2013-07-13 21:13 - 2013-04-17 13:28 - 00219648 _____ (Microsoft Corporation) C:\Windows\system32\d3d10_1core.dll
2013-07-13 21:13 - 2013-04-17 13:28 - 00189952 _____ (Microsoft Corporation) C:\Windows\system32\d3d10core.dll
2013-07-13 21:13 - 2013-04-17 13:28 - 00160768 _____ (Microsoft Corporation) C:\Windows\system32\d3d10_1.dll
2013-07-13 21:13 - 2013-04-17 12:34 - 01172480 _____ (Microsoft Corporation) C:\Windows\system32\d3d10warp.dll
2013-07-13 21:13 - 2013-04-17 12:33 - 00486400 _____ (Microsoft Corporation) C:\Windows\system32\d3d10level9.dll
2013-07-13 21:13 - 2013-04-17 12:14 - 00683008 _____ (Microsoft Corporation) C:\Windows\system32\d2d1.dll
2013-07-13 21:13 - 2013-04-17 12:10 - 01069056 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2013-07-13 21:13 - 2013-04-17 12:10 - 00798208 _____ (Microsoft Corporation) C:\Windows\system32\FntCache.dll

==================== One Month Modified Files and Folders =======

2013-08-12 19:56 - 2013-08-12 19:55 - 00000476 _____ C:\Users\Carolin\Desktop\defogger_disable.log
2013-08-12 19:55 - 2013-08-12 19:55 - 00000000 _____ C:\Users\Carolin\defogger_reenable
2013-08-12 19:55 - 2009-11-22 17:22 - 00000000 ____D C:\Users\Carolin
2013-08-12 19:53 - 2013-08-12 19:53 - 00377856 _____ C:\Users\Carolin\Desktop\gmer_2.1.19163.exe
2013-08-12 19:52 - 2013-08-12 19:52 - 01068593 _____ (Farbar) C:\Users\Carolin\Desktop\FRST.exe
2013-08-12 19:50 - 2006-11-02 14:47 - 00003664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-12 19:50 - 2006-11-02 14:47 - 00003664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-12 19:49 - 2013-08-12 19:49 - 00050477 _____ C:\Users\Carolin\Desktop\Defogger.exe
2013-08-12 19:22 - 2006-11-02 12:33 - 01453950 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-12 19:14 - 2006-11-02 14:52 - 02062827 _____ C:\Windows\WindowsUpdate.log
2013-08-12 19:11 - 2006-11-02 15:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-12 16:29 - 2006-11-02 15:01 - 00032530 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-08-12 16:10 - 2013-07-09 14:28 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-12 15:50 - 2012-08-24 16:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\vlc
2013-08-12 15:10 - 2009-11-27 21:27 - 00133120 _____ C:\Users\Carolin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-08-11 20:09 - 2013-03-24 20:54 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-08-11 20:09 - 2011-06-14 20:53 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-11 20:09 - 2009-11-24 22:23 - 00000000 ____D C:\Users\Carolin\AppData\Local\Adobe
2013-08-11 00:33 - 2011-10-01 08:53 - 00000000 ____D C:\Users\Carolin\Downloads\Neuer Ordner
2013-08-10 23:35 - 2009-11-22 18:35 - 00035224 _____ C:\Windows\PFRO.log
2013-08-10 04:32 - 2009-11-24 21:08 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\GHISLER
2013-08-09 23:25 - 2013-05-24 15:19 - 00000000 ____D C:\Users\Carolin\AppData\Local\Vistaprint Fotobücher
2013-08-09 23:23 - 2013-08-09 23:15 - 00000000 ____D C:\Users\Carolin\Documents\Vistaprint Fotobücher
2013-08-09 23:16 - 2013-05-24 15:19 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Vistaprint Fotobücher
2013-08-09 21:29 - 2006-11-02 14:47 - 00501856 _____ C:\Windows\system32\FNTCACHE.DAT
2013-08-09 21:27 - 2009-11-22 17:23 - 00148880 _____ C:\Users\Carolin\AppData\Local\GDIPFONTCACHEV1.DAT
2013-08-09 02:02 - 2010-08-27 21:02 - 00000000 ____D C:\Program Files\Adobe
2013-08-09 01:56 - 2013-03-02 14:20 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Dropbox
2013-08-09 01:54 - 2013-03-03 00:29 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Swiss Academic Software
2013-08-08 23:37 - 2012-04-07 00:21 - 00001912 _____ C:\Windows\epplauncher.mif
2013-08-08 23:35 - 2012-04-07 00:19 - 00000000 ____D C:\Program Files\Microsoft Security Client
2013-08-08 18:45 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Web
2013-08-08 17:40 - 2013-08-08 17:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000912 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-08 17:37 - 2013-08-08 17:37 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Carolin\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-04 14:00 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-04 13:58 - 2013-02-20 19:23 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-08-04 13:02 - 2006-11-02 14:52 - 00077121 _____ C:\Windows\setupact.log
2013-07-19 17:25 - 2013-07-19 17:21 - 00000000 ____D C:\Windows\system32\MRT
2013-07-14 03:50 - 2006-11-02 14:37 - 00000000 ____D C:\Windows\system32\XPSViewer
2013-07-14 03:15 - 2006-11-02 12:23 - 00000240 _____ C:\Windows\win.ini
2013-07-14 03:01 - 2006-11-02 14:37 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-13 22:37 - 2012-10-03 14:06 - 00001056 ___SH C:\Windows\system32\KGyGaAvL.sys
2013-07-13 22:37 - 2012-10-03 14:06 - 00000000 ____D C:\Users\Carolin\Documents\My PSP Files
2013-07-13 22:37 - 2012-10-03 14:06 - 00000000 ____D C:\Users\Carolin\AppData\Local\Corel

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-08-12 19:17

==================== End Of Log ============================
--- --- ---


FRST Addition
Code:
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 11-08-2013 02
Ran by Carolin at 2013-08-12 19:58:04
Running from C:\Users\Carolin\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Adobe Flash Player 11 Plugin (Version: 11.8.800.94)
Adobe Reader X (10.1.6) - Deutsch (Version: 10.1.6)
AVM FRITZ!WLAN
Compatibility Pack for the 2007 Office system (Version: 12.0.6612.1000)
Corel Paint Shop Pro Photo X2 (Version: 12.001.0000)
Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition
ElsterFormular (Version: 14.1.20130301)
Free Audio CD Burner version 1.4.8
Free Audio Converter version 2.2.19.602
Free Audio Dub version 1.7.7.305
Free Video to MP3 Converter version 4.2.20.426
Free YouTube Download version 2.10.35.426
Free YouTube to MP3 Converter version 3.11.34.1015 (Version: 3.11.34.1015)
Gigabyte Raid Configurer (Version: 1.00.0000)
ID3-TagIT 3 (Version: 3)
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
McAfee Security Scan Plus (Version: 3.0.318.3)
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Antimalware Service DE-DE Language Pack (Version: 3.0.8402.2)
Microsoft Office Access MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office Excel MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office File Validation Add-In (Version: 14.0.5130.5003)
Microsoft Office Home and Student 2010 (Version: 14.0.7015.1000)
Microsoft Office OneNote MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office Outlook MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office PowerPoint MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office Proof (English) 2010 (Version: 14.0.7015.1000)
Microsoft Office Proof (French) 2010 (Version: 14.0.7015.1000)
Microsoft Office Proof (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office Proof (Italian) 2010 (Version: 14.0.7015.1000)
Microsoft Office Proofing (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office Publisher MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office Shared MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft Office Single Image 2010 (Version: 14.0.7015.1000)
Microsoft Office Standard Edition 2003 (Version: 11.0.8173.0)
Microsoft Office Word MUI (German) 2010 (Version: 14.0.7015.1000)
Microsoft PowerPoint Viewer (Version: 14.0.7015.1000)
Microsoft Security Client (Version: 4.3.0215.0)
Microsoft Security Client DE-DE Language Pack (Version: 2.1.1116.0)
Microsoft Security Essentials (Version: 4.3.215.0)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Mozilla Firefox 22.0 (x86 de) (Version: 22.0)
Mozilla Maintenance Service (Version: 22.0)
MSXML 4.0 SP2 (KB927978) (Version: 4.20.9841.0)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
NVIDIA Grafiktreiber 306.97 (Version: 306.97)
NVIDIA Install Application (Version: 2.1002.85.551)
NVIDIA nView 136.53 (Version: 136.53)
NVIDIA PhysX (Version: 9.09.0814)
NVIDIA Systemsteuerung 306.97 (Version: 306.97)
Protect Disc License Helper 1.0.125 (IE) (HKCU Version: 1.0.125)
ProtectDisc Driver, Version 11 (Version: 11.0.0.14)
Realtek Ethernet Controller Driver For Windows Vista and Later (Version: 1.00.0009)
Realtek High Definition Audio Driver (Version: 6.0.1.5964)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition
Uninstall 1.0.0.1
Update for Microsoft .NET Framework 3.5 SP1 (KB2836940) (Version: 1)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
Update for Microsoft Office 2010 (KB2760631) 32-Bit Edition
Vistaprint Fotobücher
 

==================== Restore Points  =========================

10-08-2013 02:30:52 Removed myphotobook.de
10-08-2013 22:15:57 Geplanter Prüfpunkt
11-08-2013 16:24:33 Geplanter Prüfpunkt
12-08-2013 10:24:40 Windows Update

==================== Hosts content: ==========================

2006-11-02 12:23 - 2006-09-18 23:41 - 00000761 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1      localhost
::1            localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {01E21C65-5DFE-4E6F-9482-371882E36358} - System32\Tasks\Microsoft\Windows\NetworkAccessProtection\NAPStatus UI
Task: {07F06655-7FFF-4110-8631-ADA898002AB8} - System32\Tasks\Microsoft\Windows\WindowsBackup\Windows Backup Monitor => C:\Windows\System32\sdclt.exe [2010-12-14] (Microsoft Corporation)
Task: {0BE76B0C-2991-458F-A14D-9DE6FB7D1310} - System32\Tasks\Microsoft\Windows\Tcpip\WSHReset => C:\Windows\system32\schtasks.exe [2008-01-19] (Microsoft Corporation)
Task: {1CC81347-6204-4B83-900C-01E02F50F067} - System32\Tasks\Microsoft\Windows\MobilePC\TMM
Task: {3BCDF251-CA5C-4045-A1FC-8FCEF9FBDC93} - System32\Tasks\Microsoft\Windows\Shell\CrawlStartPages
Task: {41E81D4A-3790-4170-AC77-9F17583EC1CC} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-08-11] (Adobe Systems Incorporated)
Task: {44980BEE-7809-44A9-AC24-D6E578A3B7DF} - System32\Tasks\Microsoft\Windows\RAC\RACAgent => C:\Windows\system32\RacAgent.exe [2008-01-19] (Microsoft Corporation)
Task: {7DADCA18-9CF3-45D1-B199-1E169766D03B} - System32\Tasks\Microsoft\Windows\WindowsBackup\CheckFull => C:\Windows\System32\sdclt.exe [2010-12-14] (Microsoft Corporation)
Task: {9450FB90-DF5D-4E1C-95AB-F4D50ADF6EBA} - System32\Tasks\Microsoft\Windows\WindowsBackup\AutomaticBackup => C:\Windows\system32\rundll32.exe [2006-11-02] (Microsoft Corporation)
Task: {A61555D3-7840-45C1-A5A9-0D49851DE37A} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\OptinNotification => C:\Windows\System32\wsqmcons.exe [2008-01-19] (Microsoft Corporation)
Task: {E5150B95-F9B4-4D5D-95A2-7EC1ACBA95F8} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs [2009-11-22] ()
Task: {F5CF35CF-5565-49E6-8092-A6A05AED6F07} - System32\Tasks\Microsoft\Windows\Defrag\ManualDefrag => C:\Windows\system32\defrag.exe [2008-01-19] (Microsoft Corp.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (08/04/2013 02:01:07 PM) (Source: Microsoft Security Client Setup) (User: Carolin-PC)
Description: HRESULT:0x8004FF0A
Description:Upgrade installation canceled. To upgrade later, run the Security Essentials Upgrade Wizard again. Error code:0x8004FF0A.

Error: (08/04/2013 01:09:09 PM) (Source: Microsoft Security Client Setup) (User: Carolin-PC)
Description: HRESULT:0x8004FF0A
Description:Upgrade installation canceled. To upgrade later, run the Security Essentials Upgrade Wizard again. Error code:0x8004FF0A.

Error: (07/15/2013 10:46:58 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung FlashPlayerPlugin_11_8_800_94.exe, Version 11.8.800.94, Zeitstempel 0x51c4d74d, fehlerhaftes Modul unknown, Version 0.0.0.0, Zeitstempel 0x00000000, Ausnahmecode 0xc0000005, Fehleroffset 0x73504618,
Prozess-ID 0x6f4, Anwendungsstartzeit FlashPlayerPlugin_11_8_800_94.exe0.

Error: (07/14/2013 08:39:00 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung firefox.exe, Version 22.0.0.4917, Zeitstempel 0x51c06b1b, fehlerhaftes Modul xul.dll, Version 22.0.0.4917, Zeitstempel 0x51c06a5b, Ausnahmecode 0xc0000005, Fehleroffset 0x00173668,
Prozess-ID 0x834, Anwendungsstartzeit firefox.exe0.

Error: (07/13/2013 11:11:56 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung firefox.exe, Version 22.0.0.4917, Zeitstempel 0x51c06b1b, fehlerhaftes Modul xul.dll, Version 22.0.0.4917, Zeitstempel 0x51c06a5b, Ausnahmecode 0xc0000005, Fehleroffset 0x00173668,
Prozess-ID 0xf40, Anwendungsstartzeit firefox.exe0.

Error: (07/11/2013 10:27:20 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung firefox.exe, Version 22.0.0.4917, Zeitstempel 0x51c06b1b, fehlerhaftes Modul xul.dll, Version 22.0.0.4917, Zeitstempel 0x51c06a5b, Ausnahmecode 0xc0000005, Fehleroffset 0x00173668,
Prozess-ID 0xdf4, Anwendungsstartzeit firefox.exe0.

Error: (07/11/2013 07:34:50 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung McUicnt.exe, Version 4.0.228.0, Zeitstempel 0x4d50670d, fehlerhaftes Modul unknown, Version 0.0.0.0, Zeitstempel 0x00000000, Ausnahmecode 0xc0000005, Fehleroffset 0x0000200c,
Prozess-ID 0xb00, Anwendungsstartzeit McUicnt.exe0.

Error: (06/22/2013 09:13:47 AM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung firefox.exe, Version 21.0.0.4879, Zeitstempel 0x518ec3cc, fehlerhaftes Modul xul.dll, Version 21.0.0.4879, Zeitstempel 0x518ec306, Ausnahmecode 0xc0000005, Fehleroffset 0x001c9789,
Prozess-ID 0xf58, Anwendungsstartzeit firefox.exe0.

Error: (06/17/2013 02:23:42 AM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\CAROLIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\RECENT\20130521 GRUPPENARBEIT SS13 BESCHAFFUNG ALTERNATIVER BRENNSTOFFE FINAL4 MIT TUTTI Ä-MODUS AN.LNK> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
        Ein an das System angeschlossenes Gerät funktioniert nicht.  (0x8007001f)

Error: (06/17/2013 02:23:42 AM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\CAROLIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\RECENT\20130521 GRUPPENARBEIT SS13 BESCHAFFUNG ALTERNATIVER BRENNSTOFFE FINAL4 MIT TUTTI Ä-MODUS AN.LNK> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
        Ein an das System angeschlossenes Gerät funktioniert nicht.  (0x8007001f)


System errors:
=============
Error: (08/10/2013 01:28:16 AM) (Source: cdrom) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.

Error: (08/10/2013 01:28:09 AM) (Source: cdrom) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.

Error: (08/10/2013 01:13:23 AM) (Source: cdrom) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\CdRom0 gefunden.

Error: (08/09/2013 11:41:43 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "E:" wurden abgebrochen, weil der Schattenkopiespeicher nicht vergrößert werden kann.

Error: (08/06/2013 09:13:49 AM) (Source: Microsoft Antimalware) (User: )
Description: Vom Echtzeitschutz-Feature von %%860 wurde ein Fehler festgestellt

        Feature: %%886

        Fehlercode: 0x8007045b

        Fehlerbeschreibung: Der Computer wird heruntergefahren.

        Grund: %%892

Error: (08/04/2013 08:43:14 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.

Error: (08/04/2013 07:51:04 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "E:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.

Error: (08/04/2013 01:57:33 PM) (Source: Service Control Manager) (User: )
Description: Windows Search%%1053

Error: (08/04/2013 01:57:33 PM) (Source: Service Control Manager) (User: )
Description: 30000Windows Search

Error: (08/04/2013 01:57:33 PM) (Source: DCOM) (User: )
Description: 1053WSearch{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}


Microsoft Office Sessions:
=========================
Error: (08/04/2013 02:01:07 PM) (Source: Microsoft Security Client Setup)(User: Carolin-PC)
Description: HRESULT:0x8004FF0A
Description:Upgrade installation canceled. To upgrade later, run the Security Essentials Upgrade Wizard again. Error code:0x8004FF0A.

Error: (08/04/2013 01:09:09 PM) (Source: Microsoft Security Client Setup)(User: Carolin-PC)
Description: HRESULT:0x8004FF0A
Description:Upgrade installation canceled. To upgrade later, run the Security Essentials Upgrade Wizard again. Error code:0x8004FF0A.

Error: (07/15/2013 10:46:58 PM) (Source: Application Error)(User: )
Description: FlashPlayerPlugin_11_8_800_94.exe11.8.800.9451c4d74dunknown0.0.0.000000000c0000005735046186f401ce819c72dfeab7

Error: (07/14/2013 08:39:00 PM) (Source: Application Error)(User: )
Description: firefox.exe22.0.0.491751c06b1bxul.dll22.0.0.491751c06a5bc00000050017366883401ce808289b0e1d1

Error: (07/13/2013 11:11:56 PM) (Source: Application Error)(User: )
Description: firefox.exe22.0.0.491751c06b1bxul.dll22.0.0.491751c06a5bc000000500173668f4001ce800a036bcda0

Error: (07/11/2013 10:27:20 PM) (Source: Application Error)(User: )
Description: firefox.exe22.0.0.491751c06b1bxul.dll22.0.0.491751c06a5bc000000500173668df401ce7e637559a9e3

Error: (07/11/2013 07:34:50 PM) (Source: Application Error)(User: )
Description: McUicnt.exe4.0.228.04d50670dunknown0.0.0.000000000c00000050000200cb0001ce7e57515077b3

Error: (06/22/2013 09:13:47 AM) (Source: Application Error)(User: )
Description: firefox.exe21.0.0.4879518ec3ccxul.dll21.0.0.4879518ec306c0000005001c9789f5801ce6f1618781c9e

Error: (06/17/2013 02:23:42 AM) (Source: Windows Search Service)(User: )
Description: Kontext:  Anwendung, SystemIndex Katalog


Details:
        Ein an das System angeschlossenes Gerät funktioniert nicht.  (0x8007001f)
C:\USERS\CAROLIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\RECENT\20130521 GRUPPENARBEIT SS13 BESCHAFFUNG ALTERNATIVER BRENNSTOFFE FINAL4 MIT TUTTI Ä-MODUS AN.LNK

Error: (06/17/2013 02:23:42 AM) (Source: Windows Search Service)(User: )
Description: Kontext:  Anwendung, SystemIndex Katalog


Details:
        Ein an das System angeschlossenes Gerät funktioniert nicht.  (0x8007001f)
C:\USERS\CAROLIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\RECENT\20130521 GRUPPENARBEIT SS13 BESCHAFFUNG ALTERNATIVER BRENNSTOFFE FINAL4 MIT TUTTI Ä-MODUS AN.LNK


CodeIntegrity Errors:
===================================
  Date: 2013-08-08 23:34:48.785
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:48.560
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:48.367
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:48.184
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:45.026
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:44.861
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:44.669
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:44.480
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\Backup\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:37.688
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-08-08 23:34:37.497
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files\Microsoft Security Client\Drivers\NisDrv\NisDrvWFP.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info ===========================

Percentage of memory in use: 35%
Total physical RAM: 3709.58 MB
Available physical RAM: 2396.33 MB
Total Pagefile: 3590.45 MB
Available Pagefile: 2416.47 MB
Total Virtual: 2047.88 MB
Available Virtual: 1903.83 MB

==================== Drives ================================

Drive c: (System) (Fixed) (Total:69.34 GB) (Free:30.21 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Daten) (Fixed) (Total:5.19 GB) (Free:4.97 GB) NTFS
Drive e: (Daten2) (Fixed) (Total:232.88 GB) (Free:27.37 GB) NTFS
Drive f: () (Removable) (Total:59.61 GB) (Free:16.34 GB) FAT32
Drive k: (PHONE CARD) (Removable) (Total:14.83 GB) (Free:5.91 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 75 GB) (Disk ID: E453A897)
Partition 1: (Active) - (Size=69 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=5 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 233 GB) (Disk ID: 05630563)
Partition 1: (Active) - (Size=233 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (Size: 60 GB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=60 GB) - (Type=0C)

========================================================
Disk: 7 (Size: 15 GB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=15 GB) - (Type=0C)

==================== End Of Log ============================
und MBAM Log (vom 8.8.2013; Funde durch MBAM löschen lassen)

Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.08.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19443
Carolin :: CAROLIN-PC [Administrator]

Schutz: Aktiviert

08.08.2013 17:40:43
MBAM-log-2013-08-08 (18-44-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 352767
Laufzeit: 58 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Keine Aktion durchgeführt.

Infizierte Dateien: 4
C:\Users\Carolin\Downloads\Neuer Ordner\pf-setup-en-652.exe (PUP.Optional.AskToolbar) -> Keine Aktion durchgeführt.
C:\Users\Carolin\Downloads\Neuer Ordner\SoftonicDownloader_fuer_paint-net.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Carolin\Downloads\Neuer Ordner\SoftonicDownloader_fuer_pixia(1).exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Carolin\Downloads\Neuer Ordner\SoftonicDownloader_fuer_pixia.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

(Ende)

LG

schrauber 13.08.2013 08:59
sauber :)

DieRudy 13.08.2013 09:50
Entschuldige bitte, dass ich so hartnäckig nachfrage, aber ich möchte sicher gehen.
Die Festplatte kann jetzt bedenkenlos in einen anderen Rechner "umziehen"?


Zitat:
Zitat von schrauber (Beitrag 1129255)
die Platte ohne zu formatieren nicht in einem anderen Rechner nutzen
Und der Vista-Rechner (online-Banking!!) ist sauber?
Zitat:
Zitat von schrauber (Beitrag 1129389)
Wir können den im Anschluss gleich hier im Thema behandeln.

Liebe Grüße

schrauber 13.08.2013 17:15
Du meinst die Festplatte aus dem XP System oder?

DieRudy 13.08.2013 20:09
Ja genau.

Zum besseren Verständnis:
Mein Rechner (1):
- hat XP
- wurde mit dir gesäubert
- hat 2 Festplatten
Der Rechner (2) meiner Frau
- hat Vista
- (war/ist) mit Rechner1 Recycle.Bin (Trojan.Spyeyes) ) infiziert
- wird benutzt für Online Banking
- da soll die 2. Festplatte rein (Herkunft: Mein XP-Rechner)

schrauber 14.08.2013 15:42
ok, ich habs geschnallt :D

Vista:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

DieRudy 18.08.2013 21:55
Hallo,

anbei ComboLog + Zusatzinfo.
Bitte besonders beachten:
ESET: variant of Java/Exploit.CVE-2010-4452.A trojan (Scan ohne Bereinigung!!
MBAM: Recycle.Bin (Trojan.Spyeyes)

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=bd5fb2a10a2f2b44bd282827d06349be
# engine=14776
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-15 02:30:04
# local_time=2013-08-15 04:30:04 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 42842727 214066532 0 0
# scanned=158598
# found=1
# cleaned=0
# scan_time=3038
sh=7F3DFB975888B5B8F2F1700096C22947A2CC7E1C ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2010-4452.A trojan" ac=I fn="C:\Users\Carolin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\58ec35a7-41ef1f6f"
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/15/2013 at 06:23 PM

Application Version : 5.6.1030

Core Rules Database Version : 10691
Trace Rules Database Version: 8503

Scan type      : Complete Scan
Total Scan Time : 02:17:50

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Administrator

Memory items scanned      : 528
Memory threats detected  : 0
Registry items scanned    : 35806
Registry threats detected : 0
File items scanned        : 137994
File threats detected    : 77

Adware.Tracking Cookie
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\L6YA46TG.txt [ /fastclick.net ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\D3837PGM.txt [ /atdmt.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Q3G0VWTY.txt [ /interclick.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\BQB6RPRJ.txt [ /www.windowsmedia.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\ZH4NQPAA.txt [ /doubleclick.net ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\RSDFXH5E.txt [ Cookie:carolin@track.adform.net/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\8ZPZLBWG.txt [ Cookie:carolin@ad2.adfarm1.adition.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\G9BPFF87.txt [ Cookie:carolin@exoclick.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\carolin@fastclick[1].txt [ Cookie:carolin@fastclick.net/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\BSC6K8RO.txt [ Cookie:carolin@ad3.adfarm1.adition.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\VOPBGU1Y.txt [ Cookie:carolin@adform.net/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\U5W9IFE1.txt [ Cookie:carolin@invitemedia.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\E22JEO6Z.txt [ Cookie:carolin@overture.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\9270KVUZ.txt [ Cookie:carolin@c.atdmt.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\EQ6HHLS0.txt [ Cookie:carolin@tradedoubler.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\XBU7G9PT.txt [ Cookie:carolin@specificclick.net/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\IIQ7MXSJ.txt [ Cookie:carolin@ad1.adfarm1.adition.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\JK6W6AIB.txt [ Cookie:carolin@bs.serving-sys.com/ ]
        C:\USERS\CAROLIN\AppData\Roaming\Microsoft\Windows\Cookies\Low\LAZEXBYQ.txt [ Cookie:carolin@imrworldwide.com/cgi-bin ]
        C:\USERS\CAROLIN\Cookies\L6YA46TG.txt [ Cookie:system@fastclick.net/ ]
        C:\USERS\CAROLIN\Cookies\D3837PGM.txt [ Cookie:system@atdmt.com/ ]
        C:\USERS\CAROLIN\Cookies\BQB6RPRJ.txt [ Cookie:carolin@www.windowsmedia.com/ ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\carolin@advertising[1].txt [ /advertising.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\GTB4899Z.txt [ /ad.ad-srv.net ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\carolin@msnportal.112.2o7[1].txt [ /msnportal.112.2o7.net ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\5OYK6GCT.txt [ /adfarm1.adition.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\A03GVXSH.txt [ /serving-sys.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\42QYESXD.txt [ /ad.360yield.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\HVT26KQ5.txt [ /atdmt.com ]
        C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Cookies\Low\C7D7MFJ8.txt [ /doubleclick.net ]
        video.unrulymedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\6P7MVRCW ]
        .doubleclick.net [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        ec-track.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        ad2.adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .serving-sys.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        ad4.adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .revsci.net [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .atdmt.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .casalemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .casalemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .casalemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .casalemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .casalemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .unister-adservices.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        ad.yieldmanager.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        ad.yieldmanager.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        ad.yieldmanager.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        ad.yieldmanager.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .invitemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .invitemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .invitemedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .unister-adservices.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .atdmt.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .c.atdmt.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .c.atdmt.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .unrulymedia.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .statcounter.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .statcounter.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .doubleclick.net [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
        .apmebf.com [ C:\USERS\CAROLIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\M1MH4HAQ.DEFAULT\COOKIES.SQLITE ]
Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.08.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19443
Carolin :: CAROLIN-PC [Administrator]

Schutz: Aktiviert

08.08.2013 17:40:43
MBAM-log-2013-08-08 (18-44-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 352767
Laufzeit: 58 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Keine Aktion durchgeführt.

Infizierte Dateien: 4
C:\Users\Carolin\Downloads\Neuer Ordner\pf-setup-en-652.exe (PUP.Optional.AskToolbar) -> Keine Aktion durchgeführt.
C:\Users\Carolin\Downloads\Neuer Ordner\SoftonicDownloader_fuer_paint-net.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Carolin\Downloads\Neuer Ordner\SoftonicDownloader_fuer_pixia(1).exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Carolin\Downloads\Neuer Ordner\SoftonicDownloader_fuer_pixia.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

(Ende)
Code:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.15.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19453
Carolin :: CAROLIN-PC [Administrator]

Schutz: Deaktiviert

15.08.2013 14:50:21
mbam-log-2013-08-15 (14-50-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|K:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333444
Laufzeit: 51 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
ComboFix 13-08-18.01 - Carolin 18.08.2013  22:32:00.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.3710.2578 [GMT 2:00]
ausgeführt von:: c:\users\Carolin\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {641105E6-77ED-3F35-A304-765193BCB75F}
SP: Microsoft Security Essentials *Disabled/Updated* {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-07-18 bis 2013-08-18  ))))))))))))))))))))))))))))))
.
.
2013-08-18 20:36 . 2013-08-18 20:36        --------        d-----w-        c:\users\Carolin\AppData\Local\temp
2013-08-18 20:36 . 2013-08-18 20:36        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-08-18 19:08 . 2013-07-02 06:54        7143960        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{D3C1CD17-414A-41A6-8390-E6A83409CC39}\mpengine.dll
2013-08-17 17:07 . 2013-07-02 06:54        7143960        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-08-15 13:46 . 2013-08-15 13:46        --------        d-----w-        c:\programdata\SUPERAntiSpyware.com
2013-08-14 18:05 . 2013-07-08 04:16        992768        ----a-w-        c:\windows\system32\crypt32.dll
2013-08-14 18:05 . 2013-07-08 04:20        172544        ----a-w-        c:\windows\system32\wintrust.dll
2013-08-14 18:05 . 2013-07-08 04:16        98304        ----a-w-        c:\windows\system32\cryptnet.dll
2013-08-14 18:05 . 2013-07-08 04:16        133120        ----a-w-        c:\windows\system32\cryptsvc.dll
2013-08-14 13:15 . 2013-08-14 13:15        --------        d-----w-        c:\users\Carolin\AppData\Roaming\SUPERAntiSpyware.com
2013-08-12 17:57 . 2013-08-12 17:57        --------        d-----w-        C:\FRST
2013-08-08 15:40 . 2013-08-08 15:40        --------        d-----w-        c:\users\Carolin\AppData\Roaming\Malwarebytes
2013-08-08 15:39 . 2013-08-08 15:39        --------        d-----w-        c:\programdata\Malwarebytes
2013-08-08 15:39 . 2013-04-04 12:50        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-08-08 15:39 . 2013-08-08 15:39        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-08-11 18:09 . 2013-03-24 18:54        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-08-11 18:09 . 2011-06-14 18:53        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-07-17 20:05 . 2013-07-17 20:10        698504        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{4283FF45-B683-4D34-9FDE-5D76FE571A71}\gapaengine.dll
2013-06-21 04:35 . 2012-06-14 04:50        724464        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-06-18 19:50 . 2013-06-18 19:50        211560        ----a-w-        c:\windows\system32\drivers\MpFilter.sys
2013-06-18 19:50 . 2011-04-27 13:25        107392        ----a-w-        c:\windows\system32\drivers\NisDrvWFP.sys
2013-06-04 01:50 . 2013-07-13 19:14        2049024        ----a-w-        c:\windows\system32\win32k.sys
2013-06-01 04:06 . 2013-07-13 19:13        505344        ----a-w-        c:\windows\system32\qedit.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-06-20 995176]
"nwiz"="c:\program files\NVIDIA Corporation\nview\nwiz.exe" [2012-10-10 1982312]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Users^Carolin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk]
path=c:\users\Carolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Carolin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Carolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35        946352        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]
2007-09-12 10:00        531272        ----a-w-        c:\program files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2012-10-02 19:29        108392        ----a-w-        c:\windows\System32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2012-10-02 19:29        2853224        ----a-w-        c:\windows\System32\nvsvc.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2009-10-21 14:33        7858720        ----a-w-        c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1721736573-597279347-2396957221-1000]
"EnableNotificationsRef"=dword:00000001
.
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 185472]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2013-08-18 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-24 18:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = fritz.box
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - c:\users\Carolin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\Carolin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - ExtSQL: !HIDDEN! 2009-11-22 20:24; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - c:\program files\SUPERAntiSpyware\SASSEH.DLL
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-08-18 22:36
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4b,b1,34,29,bc,72,fa,4e,91,cf,03,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4b,b1,34,29,bc,72,fa,4e,91,cf,03,\
.
Zeit der Fertigstellung: 2013-08-18  22:37:49
ComboFix-quarantined-files.txt  2013-08-18 20:37
.
Vor Suchlauf: 10 Verzeichnis(se), 30.002.495.488 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 30.698.139.648 Bytes frei
.
- - End Of File - - CC9F076F8A604CC59E959FED1253023B
5C616939100B85E558DA92B899A0FC36
LG

schrauber 19.08.2013 11:34
ESET hat nur Funde im Cache.

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Poste bitte noch ein frisches FRST log.

DieRudy 20.08.2013 22:45
OK. TFC ausgeführt (Neustart war erforderlich).
Hier das frische FRST Log:


FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 11-08-2013 02 (ATTENTION: ====> FRST version is 9 days old and could be outdated)
Ran by Carolin (administrator) on 20-08-2013 23:24:24
Running from C:\Users\Carolin\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(AVM Berlin) C:\Program Files\avmwlanstick\WlanNetService.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
() C:\Windows\system32\PSIService.exe
(AVM Berlin) C:\Program Files\avmwlanstick\WLanGUI.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Microsoft Corporation) C:\Windows\system32\wbem\unsecapp.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [JMB36X IDE Setup] - C:\Windows\RaidTool\xInsIDE.exe [36864 2007-03-21] ()
HKLM\...\Run: [AVMWlanClient] - C:\Program Files\avmwlanstick\wlangui.exe [1454080 2006-12-28] (AVM Berlin)
HKLM\...\Run: [MSC] - c:\Program Files\Microsoft Security Client\msseces.exe [995176 2013-06-20] (Microsoft Corporation)
HKLM\...\Run: [nwiz] - C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [1982312 2012-10-10] ()
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-03] (Adobe Systems Incorporated)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation)
HKU\Default\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-11] (Microsoft Corporation)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-11] (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
Handler: msdaipp - No CLSID Value -
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default
FF Homepage: www.google.de
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @mcafee.com/McAfeeMssPlugin - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: @protectdisc.com/NPPDLicenseHelper - C:\Users\Carolin\AppData\Roaming\ProtectDisc\License Helper v2\NPPDLicenseHelper.dll ( )
FF Extension: No Name - C:\Users\Carolin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
FF Extension: Microsoft .NET Framework Assistant - C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF Extension: No Name - C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default\Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

========================== Services (Whitelisted) =================

R2 AVM WLAN Connection Service; C:\Program Files\avmwlanstick\WlanNetService.exe [356352 2006-12-28] (AVM Berlin)
R2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [22208 2013-06-20] (Microsoft Corporation)
S3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [295376 2013-06-20] (Microsoft Corporation)
R2 ProtexisLicensing; C:\Windows\system32\PSIService.exe [177704 2007-06-05] ()

==================== Drivers (Whitelisted) ====================

R2 acedrv11; C:\Windows\system32\drivers\acedrv11.sys [185472 2010-02-24] (Protect Software GmbH)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2006-12-28] (AVM Berlin)
R3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2007-01-26] (AVM GmbH)
S3 gdrv; C:\Windows\gdrv.sys [15600 2009-11-22] (Windows (R) 2000 DDK provider)
R0 JRAID; C:\Windows\System32\DRIVERS\jraid.sys [83296 2008-11-04] (JMicron Technology Corp.)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [211560 2013-06-18] (Microsoft Corporation)
R1 MpKslb768779a; c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{5E818BFA-26C1-4B75-B5FD-B1724A33F827}\MpKslb768779a.sys [29904 2013-08-20] (Microsoft Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\C:\Users\Carolin\AppData\Local\Temp\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-18 22:43 - 2013-08-18 22:43 - 00009251 _____ C:\Users\Carolin\Desktop\20130818 ComboFix.txt
2013-08-18 22:37 - 2013-08-18 22:37 - 00009251 _____ C:\ComboFix.txt
2013-08-18 22:30 - 2013-08-18 22:37 - 00000000 ____D C:\Qoobox
2013-08-18 22:30 - 2013-08-18 22:37 - 00000000 ____D C:\ComboFix
2013-08-18 22:30 - 2013-08-18 22:36 - 00000000 ____D C:\Windows\erdnt
2013-08-18 22:30 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-08-18 22:30 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-08-18 22:30 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-08-18 22:27 - 2013-08-18 22:27 - 05105231 ____R (Swearware) C:\Users\Carolin\Desktop\ComboFix.exe
2013-08-18 14:14 - 2013-08-18 14:14 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-17 18:53 - 2013-08-17 18:53 - 00009105 _____ C:\Users\Carolin\Desktop\SUPERAntiSpyware Scan Log - 08-15-2013 - 18-23-06.log
2013-08-15 15:46 - 2013-08-15 15:46 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-08-15 15:43 - 2013-08-15 15:44 - 27020672 _____ (SUPERAntiSpyware) C:\Users\Carolin\Desktop\SUPERAntiSpyware.exe
2013-08-15 12:35 - 2013-08-15 12:35 - 00000135 _____ C:\Users\Carolin\Desktop\eset1.txt
2013-08-14 22:04 - 2013-08-18 22:47 - 00000000 ____D C:\Users\Carolin\Desktop\LOG
2013-08-14 20:06 - 2013-07-24 02:33 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00916480 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00611840 _____ (Microsoft Corporation) C:\Windows\system32\mstime.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 11111936 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 06016512 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 02004992 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 01469440 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-08-14 20:06 - 2013-07-24 02:32 - 00630272 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00387584 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00184320 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00164352 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00067072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00055296 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-08-14 20:06 - 2013-07-24 01:56 - 00385024 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2013-08-14 20:06 - 2013-07-24 01:49 - 01638912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-08-14 20:06 - 2013-07-24 01:49 - 00174080 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-08-14 20:06 - 2013-07-24 01:49 - 00133632 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-08-14 20:06 - 2013-07-24 01:49 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe
2013-08-14 20:06 - 2013-07-17 21:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-08-14 20:06 - 2013-07-10 11:47 - 00783360 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2013-08-14 20:06 - 2013-07-09 14:10 - 01205168 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-08-14 20:06 - 2013-07-08 06:55 - 03603904 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-08-14 20:06 - 2013-07-08 06:55 - 03551680 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-08-14 20:06 - 2013-07-05 05:20 - 00914880 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-08-14 20:06 - 2013-07-05 03:43 - 00031232 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpipreg.sys
2013-08-14 20:06 - 2013-06-15 15:22 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\icaapi.dll
2013-08-14 20:06 - 2013-06-15 13:23 - 00024064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tssecsrv.sys
2013-08-14 20:05 - 2013-07-08 06:20 - 00172544 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2013-08-14 20:05 - 2013-07-08 06:16 - 00992768 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-08-14 20:05 - 2013-07-08 06:16 - 00133120 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2013-08-14 20:05 - 2013-07-08 06:16 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2013-08-14 15:15 - 2013-08-14 15:15 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\SUPERAntiSpyware.com
2013-08-14 01:53 - 2013-08-14 01:53 - 02347384 _____ (ESET) C:\Users\Carolin\Desktop\esetsmartinstaller_enu.exe
2013-08-12 20:21 - 2013-08-12 20:21 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-08-12 19:58 - 2013-08-12 19:59 - 00019039 _____ C:\Users\Carolin\Desktop\20130812FRST.txt
2013-08-12 19:58 - 2013-08-12 19:58 - 00019366 _____ C:\Users\Carolin\Desktop\Addition.txt
2013-08-12 19:57 - 2013-08-12 19:57 - 00000000 ____D C:\FRST
2013-08-12 19:55 - 2013-08-12 19:56 - 00000476 _____ C:\Users\Carolin\Desktop\defogger_disable.log
2013-08-12 19:55 - 2013-08-12 19:55 - 00000000 _____ C:\Users\Carolin\defogger_reenable
2013-08-12 19:53 - 2013-08-12 19:53 - 00377856 _____ C:\Users\Carolin\Desktop\gmer_2.1.19163.exe
2013-08-12 19:52 - 2013-08-12 19:52 - 01068593 _____ (Farbar) C:\Users\Carolin\Desktop\FRST.exe
2013-08-12 19:49 - 2013-08-12 19:49 - 00050477 _____ C:\Users\Carolin\Desktop\Defogger.exe
2013-08-09 23:15 - 2013-08-09 23:23 - 00000000 ____D C:\Users\Carolin\Documents\Vistaprint Fotobücher
2013-08-08 17:40 - 2013-08-08 17:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000912 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-08 17:39 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-08-08 17:37 - 2013-08-08 17:37 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Carolin\Desktop\mbam-setup-1.75.0.1300.exe

==================== One Month Modified Files and Folders =======

2013-08-20 23:22 - 2006-11-02 15:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-20 23:22 - 2006-11-02 14:47 - 00003664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-20 23:22 - 2006-11-02 14:47 - 00003664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-20 23:21 - 2006-11-02 15:01 - 00032530 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-08-20 23:21 - 2006-11-02 14:52 - 01748801 _____ C:\Windows\WindowsUpdate.log
2013-08-20 23:18 - 2013-08-20 23:18 - 00448512 _____ (OldTimer Tools) C:\Users\Carolin\Desktop\TFC.exe
2013-08-20 23:10 - 2013-07-09 14:28 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-19 04:30 - 2012-04-27 10:14 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-08-19 04:30 - 2009-11-22 18:35 - 00037788 _____ C:\Windows\PFRO.log
2013-08-18 22:47 - 2013-08-14 22:04 - 00000000 ____D C:\Users\Carolin\Desktop\LOG
2013-08-18 22:43 - 2013-08-18 22:43 - 00009251 _____ C:\Users\Carolin\Desktop\20130818 ComboFix.txt
2013-08-18 22:37 - 2013-08-18 22:37 - 00009251 _____ C:\ComboFix.txt
2013-08-18 22:37 - 2013-08-18 22:30 - 00000000 ____D C:\Qoobox
2013-08-18 22:37 - 2013-08-18 22:30 - 00000000 ____D C:\ComboFix
2013-08-18 22:37 - 2006-11-02 13:18 - 00000000 __RHD C:\Users\Default
2013-08-18 22:37 - 2006-11-02 13:18 - 00000000 ___RD C:\Users\Public
2013-08-18 22:36 - 2013-08-18 22:30 - 00000000 ____D C:\Windows\erdnt
2013-08-18 22:36 - 2006-11-02 12:23 - 00000215 _____ C:\Windows\system.ini
2013-08-18 22:30 - 2009-11-22 17:22 - 00000000 ____D C:\Users\Carolin
2013-08-18 22:27 - 2013-08-18 22:27 - 05105231 ____R (Swearware) C:\Users\Carolin\Desktop\ComboFix.exe
2013-08-18 14:14 - 2013-08-18 14:14 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-17 18:53 - 2013-08-17 18:53 - 00009105 _____ C:\Users\Carolin\Desktop\SUPERAntiSpyware Scan Log - 08-15-2013 - 18-23-06.log
2013-08-16 14:04 - 2006-11-02 12:33 - 01453950 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-16 12:42 - 2010-05-24 19:33 - 00000000 ____D C:\Users\Carolin\Documents\DVDVideoSoft
2013-08-15 15:46 - 2013-08-15 15:46 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-08-15 15:44 - 2013-08-15 15:43 - 27020672 _____ (SUPERAntiSpyware) C:\Users\Carolin\Desktop\SUPERAntiSpyware.exe
2013-08-15 12:35 - 2013-08-15 12:35 - 00000135 _____ C:\Users\Carolin\Desktop\eset1.txt
2013-08-14 22:09 - 2010-08-27 21:02 - 00000000 ____D C:\Program Files\Adobe
2013-08-14 21:00 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\rescache
2013-08-14 20:51 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-14 20:30 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\system32\de-DE
2013-08-14 20:27 - 2013-07-19 17:21 - 00000000 ____D C:\Windows\system32\MRT
2013-08-14 20:25 - 2006-11-02 12:24 - 75778376 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-08-14 20:19 - 2006-11-02 12:23 - 00000240 _____ C:\Windows\win.ini
2013-08-14 15:15 - 2013-08-14 15:15 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\SUPERAntiSpyware.com
2013-08-14 01:53 - 2013-08-14 01:53 - 02347384 _____ (ESET) C:\Users\Carolin\Desktop\esetsmartinstaller_enu.exe
2013-08-14 01:18 - 2011-10-01 08:53 - 00000000 ____D C:\Users\Carolin\Downloads\Neuer Ordner
2013-08-14 01:16 - 2009-11-27 21:27 - 00136704 _____ C:\Users\Carolin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-08-12 20:21 - 2013-08-12 20:21 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-08-12 20:21 - 2006-11-02 13:18 - 00000000 ___HD C:\Windows\system32\GroupPolicy
2013-08-12 19:59 - 2013-08-12 19:58 - 00019039 _____ C:\Users\Carolin\Desktop\20130812FRST.txt
2013-08-12 19:58 - 2013-08-12 19:58 - 00019366 _____ C:\Users\Carolin\Desktop\Addition.txt
2013-08-12 19:57 - 2013-08-12 19:57 - 00000000 ____D C:\FRST
2013-08-12 19:56 - 2013-08-12 19:55 - 00000476 _____ C:\Users\Carolin\Desktop\defogger_disable.log
2013-08-12 19:55 - 2013-08-12 19:55 - 00000000 _____ C:\Users\Carolin\defogger_reenable
2013-08-12 19:53 - 2013-08-12 19:53 - 00377856 _____ C:\Users\Carolin\Desktop\gmer_2.1.19163.exe
2013-08-12 19:52 - 2013-08-12 19:52 - 01068593 _____ (Farbar) C:\Users\Carolin\Desktop\FRST.exe
2013-08-12 19:49 - 2013-08-12 19:49 - 00050477 _____ C:\Users\Carolin\Desktop\Defogger.exe
2013-08-12 15:50 - 2012-08-24 16:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\vlc
2013-08-11 20:09 - 2013-03-24 20:54 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-08-11 20:09 - 2011-06-14 20:53 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-11 20:09 - 2009-11-24 22:23 - 00000000 ____D C:\Users\Carolin\AppData\Local\Adobe
2013-08-10 04:32 - 2009-11-24 21:08 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\GHISLER
2013-08-09 23:25 - 2013-05-24 15:19 - 00000000 ____D C:\Users\Carolin\AppData\Local\Vistaprint Fotobücher
2013-08-09 23:23 - 2013-08-09 23:15 - 00000000 ____D C:\Users\Carolin\Documents\Vistaprint Fotobücher
2013-08-09 23:16 - 2013-05-24 15:19 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Vistaprint Fotobücher
2013-08-09 21:29 - 2006-11-02 14:47 - 00501856 _____ C:\Windows\system32\FNTCACHE.DAT
2013-08-09 21:27 - 2009-11-22 17:23 - 00148880 _____ C:\Users\Carolin\AppData\Local\GDIPFONTCACHEV1.DAT
2013-08-09 01:56 - 2013-03-02 14:20 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Dropbox
2013-08-09 01:54 - 2013-03-03 00:29 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Swiss Academic Software
2013-08-08 23:37 - 2012-04-07 00:21 - 00001912 _____ C:\Windows\epplauncher.mif
2013-08-08 23:35 - 2012-04-07 00:19 - 00000000 ____D C:\Program Files\Microsoft Security Client
2013-08-08 18:45 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Web
2013-08-08 17:40 - 2013-08-08 17:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000912 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-08 17:37 - 2013-08-08 17:37 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Carolin\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-04 13:58 - 2013-02-20 19:23 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-08-04 13:02 - 2006-11-02 14:52 - 00077121 _____ C:\Windows\setupact.log
2013-07-24 02:33 - 2013-08-14 20:06 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00916480 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00611840 _____ (Microsoft Corporation) C:\Windows\system32\mstime.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 11111936 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 06016512 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 02004992 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 01469440 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-07-24 02:32 - 2013-08-14 20:06 - 00630272 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00387584 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00184320 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00164352 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00067072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00055296 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-24 01:56 - 2013-08-14 20:06 - 00385024 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2013-07-24 01:49 - 2013-08-14 20:06 - 01638912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-24 01:49 - 2013-08-14 20:06 - 00174080 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-07-24 01:49 - 2013-08-14 20:06 - 00133632 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-07-24 01:49 - 2013-08-14 20:06 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-08-20 23:19

==================== End Of Log ============================
--- --- ---

--- --- ---


Sorry. Hatte vergessen FRST zu updaten.


FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 20-08-2013 05
Ran by Carolin (administrator) on 20-08-2013 23:38:25
Running from C:\Users\Carolin\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(AVM Berlin) C:\Program Files\avmwlanstick\WlanNetService.exe
(Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
() C:\Windows\system32\PSIService.exe
(AVM Berlin) C:\Program Files\avmwlanstick\WLanGUI.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Microsoft Corporation) C:\Windows\system32\wbem\unsecapp.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Microsoft Corporation) C:\Windows\System32\mobsync.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [JMB36X IDE Setup] - C:\Windows\RaidTool\xInsIDE.exe [36864 2007-03-21] ()
HKLM\...\Run: [AVMWlanClient] - C:\Program Files\avmwlanstick\wlangui.exe [1454080 2006-12-28] (AVM Berlin)
HKLM\...\Run: [MSC] - c:\Program Files\Microsoft Security Client\msseces.exe [995176 2013-06-20] (Microsoft Corporation)
HKLM\...\Run: [nwiz] - C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [1982312 2012-10-10] ()
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-03] (Adobe Systems Incorporated)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation)
HKU\Default\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-11] (Microsoft Corporation)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-11] (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
Handler: msdaipp - No CLSID Value -
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default
FF Homepage: www.google.de
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @mcafee.com/McAfeeMssPlugin - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: @protectdisc.com/NPPDLicenseHelper - C:\Users\Carolin\AppData\Roaming\ProtectDisc\License Helper v2\NPPDLicenseHelper.dll ( )
FF Extension: No Name - C:\Users\Carolin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
FF Extension: Microsoft .NET Framework Assistant - C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF Extension: No Name - C:\Users\Carolin\AppData\Roaming\Mozilla\Firefox\Profiles\m1mh4haq.default\Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

========================== Services (Whitelisted) =================

R2 AVM WLAN Connection Service; C:\Program Files\avmwlanstick\WlanNetService.exe [356352 2006-12-28] (AVM Berlin)
R2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [22208 2013-06-20] (Microsoft Corporation)
R3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [295376 2013-06-20] (Microsoft Corporation)
R2 ProtexisLicensing; C:\Windows\system32\PSIService.exe [177704 2007-06-05] ()

==================== Drivers (Whitelisted) ====================

R2 acedrv11; C:\Windows\system32\drivers\acedrv11.sys [185472 2010-02-24] (Protect Software GmbH)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2006-12-28] (AVM Berlin)
R0 CLFS; C:\Windows\System32\CLFS.sys [245736 2009-04-11] (Microsoft Corporation)
R3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2007-01-26] (AVM GmbH)
S3 gdrv; C:\Windows\gdrv.sys [15600 2009-11-22] (Windows (R) 2000 DDK provider)
R0 JRAID; C:\Windows\System32\DRIVERS\jraid.sys [83296 2008-11-04] (JMicron Technology Corp.)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [211560 2013-06-18] (Microsoft Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\C:\Users\Carolin\AppData\Local\Temp\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-20 23:24 - 2013-08-20 23:24 - 00025908 _____ C:\Users\Carolin\Desktop\20130820FRST.txt
2013-08-20 23:18 - 2013-08-20 23:18 - 00448512 _____ (OldTimer Tools) C:\Users\Carolin\Desktop\TFC.exe
2013-08-18 22:43 - 2013-08-18 22:43 - 00009251 _____ C:\Users\Carolin\Desktop\20130818 ComboFix.txt
2013-08-18 22:37 - 2013-08-18 22:37 - 00009251 _____ C:\ComboFix.txt
2013-08-18 22:30 - 2013-08-18 22:37 - 00000000 ____D C:\Qoobox
2013-08-18 22:30 - 2013-08-18 22:37 - 00000000 ____D C:\ComboFix
2013-08-18 22:30 - 2013-08-18 22:36 - 00000000 ____D C:\Windows\erdnt
2013-08-18 22:30 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-08-18 22:30 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-08-18 22:30 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-08-18 22:30 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-08-18 22:27 - 2013-08-18 22:27 - 05105231 ____R (Swearware) C:\Users\Carolin\Desktop\ComboFix.exe
2013-08-18 14:14 - 2013-08-18 14:14 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-17 18:53 - 2013-08-17 18:53 - 00009105 _____ C:\Users\Carolin\Desktop\SUPERAntiSpyware Scan Log - 08-15-2013 - 18-23-06.log
2013-08-15 15:46 - 2013-08-15 15:46 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-08-15 15:43 - 2013-08-15 15:44 - 27020672 _____ (SUPERAntiSpyware) C:\Users\Carolin\Desktop\SUPERAntiSpyware.exe
2013-08-15 12:35 - 2013-08-15 12:35 - 00000135 _____ C:\Users\Carolin\Desktop\eset1.txt
2013-08-14 22:04 - 2013-08-18 22:47 - 00000000 ____D C:\Users\Carolin\Desktop\LOG
2013-08-14 20:06 - 2013-07-24 02:33 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00916480 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00611840 _____ (Microsoft Corporation) C:\Windows\system32\mstime.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2013-08-14 20:06 - 2013-07-24 02:33 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 11111936 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 06016512 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 02004992 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 01469440 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-08-14 20:06 - 2013-07-24 02:32 - 00630272 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00387584 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00184320 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00164352 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00067072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00055296 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2013-08-14 20:06 - 2013-07-24 02:32 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-08-14 20:06 - 2013-07-24 01:56 - 00385024 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2013-08-14 20:06 - 2013-07-24 01:49 - 01638912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-08-14 20:06 - 2013-07-24 01:49 - 00174080 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-08-14 20:06 - 2013-07-24 01:49 - 00133632 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-08-14 20:06 - 2013-07-24 01:49 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe
2013-08-14 20:06 - 2013-07-17 21:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-08-14 20:06 - 2013-07-10 11:47 - 00783360 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2013-08-14 20:06 - 2013-07-09 14:10 - 01205168 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-08-14 20:06 - 2013-07-08 06:55 - 03603904 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-08-14 20:06 - 2013-07-08 06:55 - 03551680 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-08-14 20:06 - 2013-07-05 05:20 - 00914880 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-08-14 20:06 - 2013-07-05 03:43 - 00031232 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpipreg.sys
2013-08-14 20:06 - 2013-06-15 15:22 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\icaapi.dll
2013-08-14 20:06 - 2013-06-15 13:23 - 00024064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tssecsrv.sys
2013-08-14 20:05 - 2013-07-08 06:20 - 00172544 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2013-08-14 20:05 - 2013-07-08 06:16 - 00992768 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-08-14 20:05 - 2013-07-08 06:16 - 00133120 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2013-08-14 20:05 - 2013-07-08 06:16 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2013-08-14 15:15 - 2013-08-14 15:15 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\SUPERAntiSpyware.com
2013-08-14 01:53 - 2013-08-14 01:53 - 02347384 _____ (ESET) C:\Users\Carolin\Desktop\esetsmartinstaller_enu.exe
2013-08-12 20:21 - 2013-08-12 20:21 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-08-12 19:58 - 2013-08-12 19:59 - 00019039 _____ C:\Users\Carolin\Desktop\20130812FRST.txt
2013-08-12 19:58 - 2013-08-12 19:58 - 00019366 _____ C:\Users\Carolin\Desktop\Addition.txt
2013-08-12 19:57 - 2013-08-12 19:57 - 00000000 ____D C:\FRST
2013-08-12 19:55 - 2013-08-12 19:56 - 00000476 _____ C:\Users\Carolin\Desktop\defogger_disable.log
2013-08-12 19:55 - 2013-08-12 19:55 - 00000000 _____ C:\Users\Carolin\defogger_reenable
2013-08-12 19:53 - 2013-08-12 19:53 - 00377856 _____ C:\Users\Carolin\Desktop\gmer_2.1.19163.exe
2013-08-12 19:49 - 2013-08-12 19:49 - 00050477 _____ C:\Users\Carolin\Desktop\Defogger.exe
2013-08-09 23:15 - 2013-08-09 23:23 - 00000000 ____D C:\Users\Carolin\Documents\Vistaprint Fotobücher
2013-08-08 17:40 - 2013-08-08 17:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000912 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-08 17:39 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-08-08 17:37 - 2013-08-08 17:37 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Carolin\Desktop\mbam-setup-1.75.0.1300.exe

==================== One Month Modified Files and Folders =======

2013-08-20 23:36 - 2013-08-20 23:35 - 01070241 _____ (Farbar) C:\Users\Carolin\Desktop\FRST.exe
2013-08-20 23:36 - 2006-11-02 14:52 - 01780583 _____ C:\Windows\WindowsUpdate.log
2013-08-20 23:24 - 2013-08-20 23:24 - 00025908 _____ C:\Users\Carolin\Desktop\20130820FRST.txt
2013-08-20 23:22 - 2006-11-02 15:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-20 23:22 - 2006-11-02 14:47 - 00003664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-20 23:22 - 2006-11-02 14:47 - 00003664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-20 23:21 - 2006-11-02 15:01 - 00032530 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-08-20 23:18 - 2013-08-20 23:18 - 00448512 _____ (OldTimer Tools) C:\Users\Carolin\Desktop\TFC.exe
2013-08-20 23:10 - 2013-07-09 14:28 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-19 04:30 - 2012-04-27 10:14 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-08-19 04:30 - 2009-11-22 18:35 - 00037788 _____ C:\Windows\PFRO.log
2013-08-18 22:47 - 2013-08-14 22:04 - 00000000 ____D C:\Users\Carolin\Desktop\LOG
2013-08-18 22:43 - 2013-08-18 22:43 - 00009251 _____ C:\Users\Carolin\Desktop\20130818 ComboFix.txt
2013-08-18 22:37 - 2013-08-18 22:37 - 00009251 _____ C:\ComboFix.txt
2013-08-18 22:37 - 2013-08-18 22:30 - 00000000 ____D C:\Qoobox
2013-08-18 22:37 - 2013-08-18 22:30 - 00000000 ____D C:\ComboFix
2013-08-18 22:37 - 2006-11-02 13:18 - 00000000 __RHD C:\Users\Default
2013-08-18 22:37 - 2006-11-02 13:18 - 00000000 ___RD C:\Users\Public
2013-08-18 22:36 - 2013-08-18 22:30 - 00000000 ____D C:\Windows\erdnt
2013-08-18 22:36 - 2006-11-02 12:23 - 00000215 _____ C:\Windows\system.ini
2013-08-18 22:30 - 2009-11-22 17:22 - 00000000 ____D C:\Users\Carolin
2013-08-18 22:27 - 2013-08-18 22:27 - 05105231 ____R (Swearware) C:\Users\Carolin\Desktop\ComboFix.exe
2013-08-18 14:14 - 2013-08-18 14:14 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-17 18:53 - 2013-08-17 18:53 - 00009105 _____ C:\Users\Carolin\Desktop\SUPERAntiSpyware Scan Log - 08-15-2013 - 18-23-06.log
2013-08-16 14:04 - 2006-11-02 12:33 - 01453950 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-16 12:42 - 2010-05-24 19:33 - 00000000 ____D C:\Users\Carolin\Documents\DVDVideoSoft
2013-08-15 15:46 - 2013-08-15 15:46 - 00000000 ____D C:\ProgramData\SUPERAntiSpyware.com
2013-08-15 15:44 - 2013-08-15 15:43 - 27020672 _____ (SUPERAntiSpyware) C:\Users\Carolin\Desktop\SUPERAntiSpyware.exe
2013-08-15 12:35 - 2013-08-15 12:35 - 00000135 _____ C:\Users\Carolin\Desktop\eset1.txt
2013-08-14 22:09 - 2010-08-27 21:02 - 00000000 ____D C:\Program Files\Adobe
2013-08-14 21:00 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\rescache
2013-08-14 20:51 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-14 20:30 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\system32\de-DE
2013-08-14 20:27 - 2013-07-19 17:21 - 00000000 ____D C:\Windows\system32\MRT
2013-08-14 20:25 - 2006-11-02 12:24 - 75778376 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-08-14 20:19 - 2006-11-02 12:23 - 00000240 _____ C:\Windows\win.ini
2013-08-14 15:15 - 2013-08-14 15:15 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\SUPERAntiSpyware.com
2013-08-14 01:53 - 2013-08-14 01:53 - 02347384 _____ (ESET) C:\Users\Carolin\Desktop\esetsmartinstaller_enu.exe
2013-08-14 01:18 - 2011-10-01 08:53 - 00000000 ____D C:\Users\Carolin\Downloads\Neuer Ordner
2013-08-14 01:16 - 2009-11-27 21:27 - 00136704 _____ C:\Users\Carolin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-08-12 20:21 - 2013-08-12 20:21 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-08-12 20:21 - 2006-11-02 13:18 - 00000000 ___HD C:\Windows\system32\GroupPolicy
2013-08-12 19:59 - 2013-08-12 19:58 - 00019039 _____ C:\Users\Carolin\Desktop\20130812FRST.txt
2013-08-12 19:58 - 2013-08-12 19:58 - 00019366 _____ C:\Users\Carolin\Desktop\Addition.txt
2013-08-12 19:57 - 2013-08-12 19:57 - 00000000 ____D C:\FRST
2013-08-12 19:56 - 2013-08-12 19:55 - 00000476 _____ C:\Users\Carolin\Desktop\defogger_disable.log
2013-08-12 19:55 - 2013-08-12 19:55 - 00000000 _____ C:\Users\Carolin\defogger_reenable
2013-08-12 19:53 - 2013-08-12 19:53 - 00377856 _____ C:\Users\Carolin\Desktop\gmer_2.1.19163.exe
2013-08-12 19:49 - 2013-08-12 19:49 - 00050477 _____ C:\Users\Carolin\Desktop\Defogger.exe
2013-08-12 15:50 - 2012-08-24 16:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\vlc
2013-08-11 20:09 - 2013-03-24 20:54 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-08-11 20:09 - 2011-06-14 20:53 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-11 20:09 - 2009-11-24 22:23 - 00000000 ____D C:\Users\Carolin\AppData\Local\Adobe
2013-08-10 04:32 - 2009-11-24 21:08 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\GHISLER
2013-08-09 23:25 - 2013-05-24 15:19 - 00000000 ____D C:\Users\Carolin\AppData\Local\Vistaprint Fotobücher
2013-08-09 23:23 - 2013-08-09 23:15 - 00000000 ____D C:\Users\Carolin\Documents\Vistaprint Fotobücher
2013-08-09 23:16 - 2013-05-24 15:19 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Vistaprint Fotobücher
2013-08-09 21:29 - 2006-11-02 14:47 - 00501856 _____ C:\Windows\system32\FNTCACHE.DAT
2013-08-09 21:27 - 2009-11-22 17:23 - 00148880 _____ C:\Users\Carolin\AppData\Local\GDIPFONTCACHEV1.DAT
2013-08-09 01:56 - 2013-03-02 14:20 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Dropbox
2013-08-09 01:54 - 2013-03-03 00:29 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Swiss Academic Software
2013-08-08 23:37 - 2012-04-07 00:21 - 00001912 _____ C:\Windows\epplauncher.mif
2013-08-08 23:35 - 2012-04-07 00:19 - 00000000 ____D C:\Program Files\Microsoft Security Client
2013-08-08 18:45 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Web
2013-08-08 17:40 - 2013-08-08 17:40 - 00000000 ____D C:\Users\Carolin\AppData\Roaming\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000912 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-08 17:39 - 2013-08-08 17:39 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-08 17:37 - 2013-08-08 17:37 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Carolin\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-04 13:58 - 2013-02-20 19:23 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-08-04 13:02 - 2006-11-02 14:52 - 00077121 _____ C:\Windows\setupact.log
2013-07-24 02:33 - 2013-08-14 20:06 - 01212928 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00916480 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00611840 _____ (Microsoft Corporation) C:\Windows\system32\mstime.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00206848 _____ (Microsoft Corporation) C:\Windows\system32\occache.dll
2013-07-24 02:33 - 2013-08-14 20:06 - 00105984 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 11111936 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 06016512 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 02004992 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 01469440 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-07-24 02:32 - 2013-08-14 20:06 - 00630272 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00387584 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00184320 _____ (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00164352 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00067072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00055296 _____ (Microsoft Corporation) C:\Windows\system32\msfeedsbs.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00043520 _____ (Microsoft Corporation) C:\Windows\system32\licmgr10.dll
2013-07-24 02:32 - 2013-08-14 20:06 - 00025600 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-24 01:56 - 2013-08-14 20:06 - 00385024 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2013-07-24 01:49 - 2013-08-14 20:06 - 01638912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-24 01:49 - 2013-08-14 20:06 - 00174080 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-07-24 01:49 - 2013-08-14 20:06 - 00133632 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-07-24 01:49 - 2013-08-14 20:06 - 00013312 _____ (Microsoft Corporation) C:\Windows\system32\msfeedssync.exe

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-08-20 23:28

==================== End Of Log ============================
--- --- ---

--- --- ---

schrauber 21.08.2013 09:33
Fertig :)

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

DieRudy 26.08.2013 18:29
OK. Soweit alles i.O.
Besten Dank.

Abschließende Frage: Wird Sandboxie zum "wilden surfen" von euch noch empfohlen?

--Thread kann geschlossen werden--

schrauber 27.08.2013 09:17
Sandboxie kann man nutzen, nit jeder kommt damit klar :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19