Trojaner-Board - Windows 7 - Ausschließlich Verknüpfungen auf USB-Speichern

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows 7 - Ausschließlich Verknüpfungen auf USB-Speichern (https://www.trojaner-board.de/155884-windows-7-ausschliesslich-verknuepfungen-usb-speichern.html)

Der Mist ist da immer noch drin. Dann bitte jetzt Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier die logfile:

Code:

ComboFix 14-06-30.01 - A 01.07.2014  13:00:05.2.2 - x86

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3067.2152 [GMT 2:00]

ausgeführt von:: c:\users\A\Downloads\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}

SP: Avira Desktop *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2014-06-01 bis 2014-07-01  ))))))))))))))))))))))))))))))

.

.

2014-07-01 11:06 . 2014-07-01 11:06        --------        d-----w-        c:\users\Default\AppData\Local\temp

2014-07-01 08:00 . 2014-07-01 08:00        --------        d-----w-        c:\users\A\AppData\Roaming\phonostar GmbH

2014-07-01 08:00 . 2014-07-01 08:00        --------        d-----w-        c:\program files\dradio-Recorder

2014-06-30 19:23 . 2014-06-30 19:23        --------        d-----w-        c:\program files\ESET

2014-06-30 14:53 . 2014-07-01 09:36        --------        d-----w-        C:\FRST

2014-06-27 10:00 . 2014-06-27 10:00        --------        d-----w-        c:\programdata\Panda Security

2014-06-27 10:00 . 2014-06-27 10:00        --------        d-----w-        c:\program files\Panda USB Vaccine

2014-06-27 09:37 . 2014-06-30 19:09        110296        ----a-w-        c:\windows\system32\drivers\MBAMSwissArmy.sys

2014-06-27 09:37 . 2014-06-30 19:09        --------        d-----w-        c:\program files\Malwarebytes Anti-Malware

2014-06-27 09:37 . 2014-06-27 09:37        --------        d-----w-        c:\programdata\Malwarebytes

2014-06-27 09:37 . 2014-05-12 05:26        51928        ----a-w-        c:\windows\system32\drivers\mwac.sys

2014-06-27 09:37 . 2014-05-12 05:25        74456        ----a-w-        c:\windows\system32\drivers\mbamchameleon.sys

2014-06-27 09:37 . 2014-05-12 05:25        23256        ----a-w-        c:\windows\system32\drivers\mbam.sys

2014-06-26 07:14 . 2013-12-06 18:01        389290        ----a-w-        c:\users\A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\java ska.vbs

2014-06-15 11:33 . 2014-05-30 09:18        696832        ----a-w-        c:\program files\Internet Explorer\iedvtool.dll

2014-06-11 23:00 . 2014-05-08 09:06        2742784        ----a-w-        c:\windows\system32\rdpcorets.dll

2014-06-11 23:00 . 2014-05-08 09:06        13824        ----a-w-        c:\windows\system32\RdpGroupPolicyExtension.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2014-06-24 09:52 . 2014-03-18 16:02        97648        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2014-06-20 04:45 . 2014-04-13 10:17        588496        ----a-w-        c:\programdata\Microsoft\ClickToRun\{9AC08E99-230B-47e8-9721-4577B7F124EA}\integrator.exe

2014-06-13 08:25 . 2014-03-18 16:22        71344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2014-06-13 08:25 . 2014-03-18 16:22        699056        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2014-05-20 08:07 . 2014-03-18 16:02        136216        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2014-04-30 18:29 . 2014-03-18 16:31        1081112        ----a-w-        c:\windows\system32\nvspcap.dll

2014-04-17 18:50 . 2014-03-18 17:40        155136        ----a-w-        c:\windows\system32\unrar.dll

2014-04-12 02:15 . 2014-05-17 18:24        136640        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys

2014-04-12 02:15 . 2014-05-17 18:24        67520        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2014-04-12 02:12 . 2014-05-17 18:24        15872        ----a-w-        c:\windows\system32\sspisrv.dll

2014-04-12 02:12 . 2014-05-17 18:24        100352        ----a-w-        c:\windows\system32\sspicli.dll

2014-04-12 02:12 . 2014-05-17 18:24        22016        ----a-w-        c:\windows\system32\secur32.dll

2014-04-12 02:11 . 2014-05-17 18:24        1059840        ----a-w-        c:\windows\system32\lsasrv.dll

2014-04-12 02:11 . 2014-05-17 18:24        22528        ----a-w-        c:\windows\system32\lsass.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro1 (ErrorConflict)]

@="{8BA85C75-763B-4103-94EB-9470F12FE0F7}"

[HKEY_CLASSES_ROOT\CLSID\{8BA85C75-763B-4103-94EB-9470F12FE0F7}]

2014-06-20 04:45        1730264        ----a-w-        c:\program files\Microsoft Office 15\root\office15\GROOVEEX.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro2 (SyncInProgress)]

@="{CD55129A-B1A1-438E-A425-CEBC7DC684EE}"

[HKEY_CLASSES_ROOT\CLSID\{CD55129A-B1A1-438E-A425-CEBC7DC684EE}]

2014-06-20 04:45        1730264        ----a-w-        c:\program files\Microsoft Office 15\root\office15\GROOVEEX.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro3 (InSync)]

@="{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}"

[HKEY_CLASSES_ROOT\CLSID\{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}]

2014-06-20 04:45        1730264        ----a-w-        c:\program files\Microsoft Office 15\root\office15\GROOVEEX.DLL

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"dradio-RecorderTimer"="c:\program files\dradio-Recorder\phonostarTimer.exe" [2012-10-13 42496]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-06-24 750160]

.

c:\users\A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

java ska.vbs [2013-12-6 389290]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]

R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-05-30 108032]

R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]

R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2014-02-25 37352]

S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2014-06-24 430160]

S2 ClickToRunSvc;Microsoft Office-Klick-und-Los-Dienst;c:\program files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [2014-05-21 1565880]

S2 NvNetworkService;NVIDIA Network Service;c:\program files\NVIDIA Corporation\NetService\NvNetworkService.exe [2014-04-30 1618888]

S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [2014-04-30 19701080]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2014-03-04 411936]

S3 k57nd60x;Broadcom NetLink (TM)-Gigabit-Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2009-07-13 229888]

S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2009-09-15 6114816]

S3 NvStreamKms;NvStreamKms;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [2014-04-30 19400]

S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers\nvvad32v.sys [2014-03-31 34080]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

.

------- Zusätzlicher Suchlauf -------

.

IE: E&xport to Microsoft Excel - c:\program files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000

IE: Se&nd to OneNote - c:\program files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105

TCP: DhcpNameServer = 141.30.217.10 141.30.66.135

FF - ProfilePath - c:\users\A\AppData\Roaming\Mozilla\Firefox\Profiles\qo9lgtqg.default\

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2014-07-01  13:11:17

ComboFix-quarantined-files.txt  2014-07-01 11:11

ComboFix2.txt  2014-07-01 10:46

.

Vor Suchlauf: 10 Verzeichnis(se), 385.464.000.512 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 385.418.326.016 Bytes frei

.

- - End Of File - - 2C186EE04505BAB4CFEC0F3EAF8AEAF6

A36C5E4F47E84449FF07ED3517B43A31

Bzgl. Problemen beim Hochfahren melde ich mich in Kürze.

An dieser Stelle schon mal ein "Zwischen-Danke" für die hohe Frequenz deiner Posts!:Boogie:

edit: Keine Probleme beim Neustart.

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

File:: c:\users\A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\java ska.vbs C:\Users\A\AppData\Local\Temp\java ska.vbs

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.

Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Guten Abend Cosinus!

Hier das Ergebnis des Skriptes:

Code:

ComboFix 14-06-30.01 - A 01.07.2014  21:00:34.3.2 - x86

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3067.2191 [GMT 2:00]

ausgeführt von:: c:\users\A\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\A\Desktop\CFScript.txt

AV: Avira Desktop *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}

SP: Avira Desktop *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

FILE ::

"c:\users\A\AppData\Local\Temp\java ska.vbs"

"c:\users\A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\java ska.vbs"

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\java ska.vbs

.

.

(((((((((((((((((((((((   Dateien erstellt von 2014-06-01 bis 2014-07-01  ))))))))))))))))))))))))))))))

.

.

2014-07-01 19:06 . 2014-07-01 19:06        --------        d-----w-        c:\users\A\AppData\Local\temp

2014-07-01 19:06 . 2014-07-01 19:06        --------        d-----w-        c:\users\Default\AppData\Local\temp

2014-07-01 08:00 . 2014-07-01 08:00        --------        d-----w-        c:\users\A\AppData\Roaming\phonostar GmbH

2014-07-01 08:00 . 2014-07-01 08:00        --------        d-----w-        c:\program files\dradio-Recorder

2014-06-30 19:23 . 2014-06-30 19:23        --------        d-----w-        c:\program files\ESET

2014-06-30 14:53 . 2014-07-01 09:36        --------        d-----w-        C:\FRST

2014-06-27 10:00 . 2014-06-27 10:00        --------        d-----w-        c:\programdata\Panda Security

2014-06-27 10:00 . 2014-06-27 10:00        --------        d-----w-        c:\program files\Panda USB Vaccine

2014-06-27 09:37 . 2014-06-30 19:09        110296        ----a-w-        c:\windows\system32\drivers\MBAMSwissArmy.sys

2014-06-27 09:37 . 2014-06-30 19:09        --------        d-----w-        c:\program files\Malwarebytes Anti-Malware

2014-06-27 09:37 . 2014-06-27 09:37        --------        d-----w-        c:\programdata\Malwarebytes

2014-06-27 09:37 . 2014-05-12 05:26        51928        ----a-w-        c:\windows\system32\drivers\mwac.sys

2014-06-27 09:37 . 2014-05-12 05:25        74456        ----a-w-        c:\windows\system32\drivers\mbamchameleon.sys

2014-06-27 09:37 . 2014-05-12 05:25        23256        ----a-w-        c:\windows\system32\drivers\mbam.sys

2014-06-15 11:33 . 2014-05-30 09:18        696832        ----a-w-        c:\program files\Internet Explorer\iedvtool.dll

2014-06-11 23:00 . 2014-05-08 09:06        2742784        ----a-w-        c:\windows\system32\rdpcorets.dll

2014-06-11 23:00 . 2014-05-08 09:06        13824        ----a-w-        c:\windows\system32\RdpGroupPolicyExtension.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2014-06-24 09:52 . 2014-03-18 16:02        97648        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2014-06-20 04:45 . 2014-04-13 10:17        588496        ----a-w-        c:\programdata\Microsoft\ClickToRun\{9AC08E99-230B-47e8-9721-4577B7F124EA}\integrator.exe

2014-06-13 08:25 . 2014-03-18 16:22        71344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2014-06-13 08:25 . 2014-03-18 16:22        699056        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2014-05-20 08:07 . 2014-03-18 16:02        136216        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2014-04-30 18:29 . 2014-03-18 16:31        1081112        ----a-w-        c:\windows\system32\nvspcap.dll

2014-04-17 18:50 . 2014-03-18 17:40        155136        ----a-w-        c:\windows\system32\unrar.dll

2014-04-12 02:15 . 2014-05-17 18:24        136640        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys

2014-04-12 02:15 . 2014-05-17 18:24        67520        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2014-04-12 02:12 . 2014-05-17 18:24        15872        ----a-w-        c:\windows\system32\sspisrv.dll

2014-04-12 02:12 . 2014-05-17 18:24        100352        ----a-w-        c:\windows\system32\sspicli.dll

2014-04-12 02:12 . 2014-05-17 18:24        22016        ----a-w-        c:\windows\system32\secur32.dll

2014-04-12 02:11 . 2014-05-17 18:24        1059840        ----a-w-        c:\windows\system32\lsasrv.dll

2014-04-12 02:11 . 2014-05-17 18:24        22528        ----a-w-        c:\windows\system32\lsass.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro1 (ErrorConflict)]

@="{8BA85C75-763B-4103-94EB-9470F12FE0F7}"

[HKEY_CLASSES_ROOT\CLSID\{8BA85C75-763B-4103-94EB-9470F12FE0F7}]

2014-06-20 04:45        1730264        ----a-w-        c:\program files\Microsoft Office 15\root\office15\GROOVEEX.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro2 (SyncInProgress)]

@="{CD55129A-B1A1-438E-A425-CEBC7DC684EE}"

[HKEY_CLASSES_ROOT\CLSID\{CD55129A-B1A1-438E-A425-CEBC7DC684EE}]

2014-06-20 04:45        1730264        ----a-w-        c:\program files\Microsoft Office 15\root\office15\GROOVEEX.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ SkyDrivePro3 (InSync)]

@="{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}"

[HKEY_CLASSES_ROOT\CLSID\{E768CD3B-BDDC-436D-9C13-E1B39CA257B1}]

2014-06-20 04:45        1730264        ----a-w-        c:\program files\Microsoft Office 15\root\office15\GROOVEEX.DLL

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"dradio-RecorderTimer"="c:\program files\dradio-Recorder\phonostarTimer.exe" [2012-10-13 42496]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-06-24 750160]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-20 62464]

R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-05-30 108032]

R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]

R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2014-02-25 37352]

S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2014-06-24 430160]

S2 ClickToRunSvc;Microsoft Office-Klick-und-Los-Dienst;c:\program files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [2014-05-21 1565880]

S2 NvNetworkService;NVIDIA Network Service;c:\program files\NVIDIA Corporation\NetService\NvNetworkService.exe [2014-04-30 1618888]

S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [2014-04-30 19701080]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2014-03-04 411936]

S3 k57nd60x;Broadcom NetLink (TM)-Gigabit-Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2009-07-13 229888]

S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2009-09-15 6114816]

S3 NvStreamKms;NvStreamKms;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [2014-04-30 19400]

S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers\nvvad32v.sys [2014-03-31 34080]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

.

------- Zusätzlicher Suchlauf -------

.

IE: E&xport to Microsoft Excel - c:\program files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000

IE: Se&nd to OneNote - c:\program files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105

TCP: DhcpNameServer = 141.30.217.10 141.30.66.135

FF - ProfilePath - c:\users\A\AppData\Roaming\Mozilla\Firefox\Profiles\qo9lgtqg.default\

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2014-07-01  21:11:12

ComboFix-quarantined-files.txt  2014-07-01 19:11

ComboFix2.txt  2014-07-01 11:11

ComboFix3.txt  2014-07-01 10:46

.

Vor Suchlauf: 10 Verzeichnis(se), 385.488.556.032 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 385.442.148.352 Bytes frei

.

- - End Of File - - EE76C1D92ED84C12B639505A01058682

A36C5E4F47E84449FF07ED3517B43A31

Windows neu starten und frische FRST Logs bitte

Erledigt:

FRST Logfile:

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:01-07-2014

Ran by A (administrator) on A-PC on 02-07-2014 15:09:19

Running from C:\Users\A\Desktop

Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: Deutsch (Deutschland)

Internet Explorer Version 11

Boot Mode: Normal
 
 
 

==================== Processes (Whitelisted) =================
 

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe

(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX86\officeclicktorun.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

() C:\Program Files\dradio-Recorder\phonostarTimer.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe

(Panda Security) C:\Program Files\Panda USB Vaccine\USBVaccine.exe

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe

(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\ipmgui.exe

(Farbar) C:\Users\A\Desktop\FRST(2).exe
 
 

==================== Registry (Whitelisted) ==================
 

HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [750160 2014-06-24] (Avira Operations GmbH & Co. KG)

HKU\S-1-5-21-754032422-2652243530-4191974238-1000\...\Run: [dradio-RecorderTimer] => C:\Program Files\dradio-Recorder\phonostarTimer.exe [42496 2012-10-13] ()

ShellIconOverlayIdentifiers:  SkyDrivePro1 (ErrorConflict) -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL (Microsoft Corporation)

ShellIconOverlayIdentifiers:  SkyDrivePro2 (SyncInProgress) -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL (Microsoft Corporation)

ShellIconOverlayIdentifiers:  SkyDrivePro3 (InSync) -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL (Microsoft Corporation)
 

==================== Internet (Whitelisted) ====================
 

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x4662C003C342CF01

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

BHO: Lync Browser Helper - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office 15\root\Office15\OCHelper.dll (Microsoft Corporation)

BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL (Microsoft Corporation)

BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL (Microsoft Corporation)

Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL (Microsoft Corporation)

Tcpip\Parameters: [DhcpNameServer] 141.30.217.10 141.30.66.135
 

FireFox:

========

FF ProfilePath: C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\qo9lgtqg.default

FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_14_0_0_125.dll ()

FF Plugin: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf - C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)

FF Plugin: @microsoft.com/Lync,version=15.0 - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX86\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation)

FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL (Microsoft Corporation)

FF Plugin: @nvidia.com/3DVision - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)

FF Plugin: @nvidia.com/3DVisionStreaming - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)

FF Plugin: @tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf - C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)

FF Plugin: @videolan.org/vlc,version=2.1.3 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)

FF Plugin HKCU: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf - C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)

FF Plugin HKCU: @phonostar.de/phonostar - C:\Program Files\dradio-Recorder\npphonostarDetectNP.dll No File

FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)

FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml

FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml

FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml

FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml

FF Extension: ProxTube - Unblock YouTube - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\qo9lgtqg.default\Extensions\ich@maltegoetz.de [2014-06-13]

FF Extension: Adblock Plus Pop-up Addon - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\qo9lgtqg.default\Extensions\adblockpopups@jessehakanen.net.xpi [2014-04-09]

FF Extension: YouTube High Definition - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\qo9lgtqg.default\Extensions\{7b1bf0b6-a1b9-42b0-b75d-252036438bdc}.xpi [2014-06-13]

FF Extension: Adblock Plus - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\qo9lgtqg.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2014-04-09]
 

========================== Services (Whitelisted) =================
 

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [430160 2014-06-24] (Avira Operations GmbH & Co. KG)

R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [430160 2014-06-24] (Avira Operations GmbH & Co. KG)

R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [1565880 2014-05-21] (Microsoft Corporation)

R2 NvNetworkService; C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe [1618888 2014-04-30] (NVIDIA Corporation)

R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [19701080 2014-04-30] (NVIDIA Corporation)
 

==================== Drivers (Whitelisted) ====================
 

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [97648 2014-06-24] (Avira Operations GmbH & Co. KG)

R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136216 2014-05-20] (Avira Operations GmbH & Co. KG)

R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2014-02-25] (Avira Operations GmbH & Co. KG)

R3 NvStreamKms; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [19400 2014-04-30] (NVIDIA Corporation)

R3 nvvad_WaveExtensible; C:\Windows\System32\drivers\nvvad32v.sys [34080 2014-03-31] (NVIDIA Corporation)

R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2014-02-25] (Avira GmbH)

S3 catchme; \??\C:\Users\A\AppData\Local\Temp\catchme.sys [X]
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 

2014-07-02 15:09 - 2014-07-02 15:09 - 00008685 _____ () C:\Users\A\Desktop\FRST.txt

2014-07-02 15:08 - 2014-07-02 15:08 - 01073664 _____ (Farbar) C:\Users\A\Downloads\FRST(2).exe

2014-07-02 15:08 - 2014-07-02 15:08 - 01073664 _____ (Farbar) C:\Users\A\Desktop\FRST(2).exe

2014-07-01 21:11 - 2014-07-01 21:11 - 00008840 _____ () C:\ComboFix.txt

2014-07-01 20:57 - 2014-07-01 20:56 - 05212874 ____R (Swearware) C:\Users\A\Desktop\ComboFix.exe

2014-07-01 12:39 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe

2014-07-01 12:39 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe

2014-07-01 12:39 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe

2014-07-01 12:39 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe

2014-07-01 12:39 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe

2014-07-01 12:39 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe

2014-07-01 12:39 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe

2014-07-01 12:39 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe

2014-07-01 12:38 - 2014-07-01 21:11 - 00000000 ____D () C:\Qoobox

2014-07-01 12:38 - 2014-07-01 12:46 - 00000000 ____D () C:\Windows\erdnt

2014-07-01 10:11 - 2014-07-01 10:11 - 01073664 _____ (Farbar) C:\Users\A\Downloads\FRST(1).exe

2014-07-01 10:00 - 2014-07-01 10:00 - 16278424 _____ ( ) C:\Users\A\Downloads\dradio-Recorder3026.exe

2014-07-01 10:00 - 2014-07-01 10:00 - 00000000 ____D () C:\Users\A\AppData\Roaming\phonostar GmbH

2014-07-01 10:00 - 2014-07-01 10:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\dradio-Recorder

2014-07-01 10:00 - 2014-07-01 10:00 - 00000000 ____D () C:\Program Files\dradio-Recorder

2014-06-30 21:47 - 2014-06-30 21:47 - 02347384 _____ (ESET) C:\Users\A\Downloads\esetsmartinstaller_deu(1).exe

2014-06-30 21:23 - 2014-06-30 21:23 - 02347384 _____ (ESET) C:\Users\A\Downloads\esetsmartinstaller_deu.exe

2014-06-30 21:23 - 2014-06-30 21:23 - 00000000 ____D () C:\Program Files\ESET

2014-06-30 21:08 - 2014-06-30 21:08 - 17292760 _____ (Malwarebytes Corporation ) C:\Users\A\Downloads\mbam-setup-2.0.2.1012(1).exe

2014-06-30 17:00 - 2014-06-30 17:00 - 00380416 _____ () C:\Users\A\Downloads\Gmer-19357.exe

2014-06-30 16:58 - 2014-06-30 16:58 - 00380416 _____ () C:\Users\A\Downloads\f2dqmpik.exe

2014-06-30 16:53 - 2014-07-02 15:09 - 00000000 ____D () C:\FRST

2014-06-30 16:53 - 2014-07-01 11:40 - 00023874 _____ () C:\Users\A\Downloads\FRST.txt

2014-06-30 16:53 - 2014-06-30 16:54 - 00017100 _____ () C:\Users\A\Downloads\Addition.txt

2014-06-30 16:52 - 2014-06-30 16:52 - 01073664 _____ (Farbar) C:\Users\A\Downloads\FRST.exe

2014-06-30 16:51 - 2014-06-30 16:52 - 00000464 _____ () C:\Users\A\Downloads\defogger_disable.log

2014-06-30 16:51 - 2014-06-30 16:51 - 00050477 _____ () C:\Users\A\Downloads\Defogger.exe

2014-06-30 16:51 - 2014-06-30 16:51 - 00000000 _____ () C:\Users\A\defogger_reenable

2014-06-29 22:58 - 2014-06-29 22:58 - 00000000 ____D () C:\Users\A\Desktop\Figarino

2014-06-27 12:00 - 2014-06-27 12:00 - 00000000 ____D () C:\ProgramData\Panda Security

2014-06-27 12:00 - 2014-06-27 12:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Panda Security

2014-06-27 12:00 - 2014-06-27 12:00 - 00000000 ____D () C:\Program Files\Panda USB Vaccine

2014-06-27 11:59 - 2014-06-27 11:59 - 00848856 _____ (Panda Security ) C:\Users\A\Downloads\USBVaccineSetup.exe

2014-06-27 11:37 - 2014-06-30 21:09 - 00110296 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys

2014-06-27 11:37 - 2014-06-30 21:09 - 00001060 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

2014-06-27 11:37 - 2014-06-30 21:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware

2014-06-27 11:37 - 2014-06-30 21:09 - 00000000 ____D () C:\Program Files\Malwarebytes Anti-Malware

2014-06-27 11:37 - 2014-06-27 11:37 - 00000000 ____D () C:\ProgramData\Malwarebytes

2014-06-27 11:37 - 2014-05-12 07:26 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys

2014-06-27 11:37 - 2014-05-12 07:25 - 00074456 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys

2014-06-27 11:37 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys

2014-06-27 11:36 - 2014-06-27 11:36 - 17292760 _____ (Malwarebytes Corporation ) C:\Users\A\Downloads\mbam-setup-2.0.2.1012.exe

2014-06-22 16:31 - 2014-07-02 10:52 - 00008128 _____ () C:\Windows\PFRO.log

2014-06-21 22:03 - 2014-07-01 11:33 - 00000000 ____D () C:\Users\A\Desktop\Neuer Ordner (2)

2014-06-21 22:02 - 2014-06-22 21:06 - 04267964 _____ () C:\Users\A\Desktop\****.zip

2014-06-16 15:53 - 2014-07-02 15:07 - 00002307 _____ () C:\Windows\setupact.log

2014-06-16 15:53 - 2014-06-16 15:53 - 00000000 _____ () C:\Windows\setuperr.log

2014-06-16 08:40 - 2014-06-16 08:40 - 00100628 _____ () C:\Users\A\Documents\cc_20140616_084000.reg

2014-06-15 13:34 - 2014-05-30 11:02 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb

2014-06-15 13:34 - 2014-05-30 11:02 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll

2014-06-15 13:34 - 2014-05-30 10:43 - 00061952 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll

2014-06-15 13:34 - 2014-05-30 10:42 - 00051200 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll

2014-06-15 13:34 - 2014-05-30 10:34 - 00043008 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll

2014-06-15 13:34 - 2014-05-30 10:33 - 00032768 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll

2014-06-15 13:34 - 2014-05-30 10:28 - 00112128 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe

2014-06-15 13:34 - 2014-05-30 10:28 - 00108032 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe

2014-06-15 13:34 - 2014-05-30 10:21 - 00646144 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe

2014-06-15 13:34 - 2014-05-30 10:16 - 00368128 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll

2014-06-15 13:34 - 2014-05-30 10:10 - 00032256 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll

2014-06-15 13:34 - 2014-05-30 10:06 - 00164864 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll

2014-06-15 13:34 - 2014-05-30 09:57 - 00595968 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe

2014-06-15 13:34 - 2014-05-30 09:54 - 00526336 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll

2014-06-15 13:34 - 2014-05-30 09:49 - 01964544 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl

2014-06-15 13:34 - 2014-05-30 09:15 - 01143296 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll

2014-06-15 13:34 - 2014-05-30 09:13 - 00704512 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll

2014-06-15 13:33 - 2014-05-30 11:18 - 17271296 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll

2014-06-15 13:33 - 2014-05-30 10:44 - 00455168 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll

2014-06-15 13:33 - 2014-05-30 10:38 - 02179072 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll

2014-06-15 13:33 - 2014-05-30 10:30 - 00440832 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll

2014-06-15 13:33 - 2014-05-30 10:27 - 00592896 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll

2014-06-15 13:33 - 2014-05-30 10:04 - 00069632 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll

2014-06-15 13:33 - 2014-05-30 10:02 - 00242688 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll

2014-06-15 13:33 - 2014-05-30 09:56 - 04244992 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll

2014-06-15 13:33 - 2014-05-30 09:50 - 01068032 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll

2014-06-15 13:33 - 2014-05-30 09:40 - 11725312 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll

2014-06-15 13:33 - 2014-05-30 09:21 - 01790976 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll

2014-06-15 13:33 - 2014-04-25 04:06 - 00626688 _____ (Microsoft Corporation) C:\Windows\system32\usp10.dll

2014-06-15 13:33 - 2014-04-05 04:25 - 01294272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys

2014-06-15 13:33 - 2014-04-05 04:24 - 00187840 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\FWPKCLNT.SYS

2014-06-15 13:33 - 2014-03-26 16:27 - 01389056 _____ (Microsoft Corporation) C:\Windows\system32\msxml6.dll

2014-06-15 13:33 - 2014-03-26 16:27 - 01237504 _____ (Microsoft Corporation) C:\Windows\system32\msxml3.dll

2014-06-15 13:33 - 2014-03-26 16:25 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml6r.dll

2014-06-15 13:33 - 2014-03-26 16:25 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml3r.dll

2014-06-12 01:00 - 2014-05-08 11:06 - 02742784 _____ (Microsoft Corporation) C:\Windows\system32\rdpcorets.dll

2014-06-12 01:00 - 2014-05-08 11:06 - 00013824 _____ (Microsoft Corporation) C:\Windows\system32\RdpGroupPolicyExtension.dll

2014-06-11 14:03 - 2014-06-11 14:03 - 00000000 ____D () C:\Program Files\Mozilla Firefox
 

==================== One Month Modified Files and Folders =======
 

2014-07-02 15:09 - 2014-07-02 15:09 - 00008685 _____ () C:\Users\A\Desktop\FRST.txt

2014-07-02 15:09 - 2014-06-30 16:53 - 00000000 ____D () C:\FRST

2014-07-02 15:08 - 2014-07-02 15:08 - 01073664 _____ (Farbar) C:\Users\A\Downloads\FRST(2).exe

2014-07-02 15:08 - 2014-07-02 15:08 - 01073664 _____ (Farbar) C:\Users\A\Desktop\FRST(2).exe

2014-07-02 15:07 - 2014-06-16 15:53 - 00002307 _____ () C:\Windows\setupact.log

2014-07-02 15:07 - 2014-03-18 18:28 - 00000000 ____D () C:\ProgramData\NVIDIA

2014-07-02 15:07 - 2009-07-14 06:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT

2014-07-02 15:06 - 2014-03-18 17:50 - 01147007 _____ () C:\Windows\WindowsUpdate.log

2014-07-02 11:00 - 2009-07-14 06:34 - 00021680 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2014-07-02 11:00 - 2009-07-14 06:34 - 00021680 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2014-07-02 10:58 - 2010-11-20 23:01 - 01649592 _____ () C:\Windows\system32\PerfStringBackup.INI

2014-07-02 10:52 - 2014-06-22 16:31 - 00008128 _____ () C:\Windows\PFRO.log

2014-07-01 21:11 - 2014-07-01 21:11 - 00008840 _____ () C:\ComboFix.txt

2014-07-01 21:11 - 2014-07-01 12:38 - 00000000 ____D () C:\Qoobox

2014-07-01 21:06 - 2009-07-14 04:04 - 00000215 _____ () C:\Windows\system.ini

2014-07-01 20:56 - 2014-07-01 20:57 - 05212874 ____R (Swearware) C:\Users\A\Desktop\ComboFix.exe

2014-07-01 12:46 - 2014-07-01 12:38 - 00000000 ____D () C:\Windows\erdnt

2014-07-01 12:46 - 2009-07-14 04:37 - 00000000 ___RD () C:\Users\Public

2014-07-01 11:40 - 2014-06-30 16:53 - 00023874 _____ () C:\Users\A\Downloads\FRST.txt

2014-07-01 11:33 - 2014-06-21 22:03 - 00000000 ____D () C:\Users\A\Desktop\Neuer Ordner (2)

2014-07-01 10:11 - 2014-07-01 10:11 - 01073664 _____ (Farbar) C:\Users\A\Downloads\FRST(1).exe

2014-07-01 10:00 - 2014-07-01 10:00 - 16278424 _____ ( ) C:\Users\A\Downloads\dradio-Recorder3026.exe

2014-07-01 10:00 - 2014-07-01 10:00 - 00000000 ____D () C:\Users\A\AppData\Roaming\phonostar GmbH

2014-07-01 10:00 - 2014-07-01 10:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\dradio-Recorder

2014-07-01 10:00 - 2014-07-01 10:00 - 00000000 ____D () C:\Program Files\dradio-Recorder

2014-06-30 21:47 - 2014-06-30 21:47 - 02347384 _____ (ESET) C:\Users\A\Downloads\esetsmartinstaller_deu(1).exe

2014-06-30 21:23 - 2014-06-30 21:23 - 02347384 _____ (ESET) C:\Users\A\Downloads\esetsmartinstaller_deu.exe

2014-06-30 21:23 - 2014-06-30 21:23 - 00000000 ____D () C:\Program Files\ESET

2014-06-30 21:09 - 2014-06-27 11:37 - 00110296 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys

2014-06-30 21:09 - 2014-06-27 11:37 - 00001060 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

2014-06-30 21:09 - 2014-06-27 11:37 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware

2014-06-30 21:09 - 2014-06-27 11:37 - 00000000 ____D () C:\Program Files\Malwarebytes Anti-Malware

2014-06-30 21:08 - 2014-06-30 21:08 - 17292760 _____ (Malwarebytes Corporation ) C:\Users\A\Downloads\mbam-setup-2.0.2.1012(1).exe

2014-06-30 17:00 - 2014-06-30 17:00 - 00380416 _____ () C:\Users\A\Downloads\Gmer-19357.exe

2014-06-30 16:58 - 2014-06-30 16:58 - 00380416 _____ () C:\Users\A\Downloads\f2dqmpik.exe

2014-06-30 16:54 - 2014-06-30 16:53 - 00017100 _____ () C:\Users\A\Downloads\Addition.txt

2014-06-30 16:52 - 2014-06-30 16:52 - 01073664 _____ (Farbar) C:\Users\A\Downloads\FRST.exe

2014-06-30 16:52 - 2014-06-30 16:51 - 00000464 _____ () C:\Users\A\Downloads\defogger_disable.log

2014-06-30 16:51 - 2014-06-30 16:51 - 00050477 _____ () C:\Users\A\Downloads\Defogger.exe

2014-06-30 16:51 - 2014-06-30 16:51 - 00000000 _____ () C:\Users\A\defogger_reenable

2014-06-30 16:51 - 2014-03-18 17:58 - 00000000 ____D () C:\Users\A

2014-06-30 07:47 - 2014-03-18 18:25 - 00000000 ____D () C:\Users\A\AppData\Roaming\vlc

2014-06-29 22:58 - 2014-06-29 22:58 - 00000000 ____D () C:\Users\A\Desktop\Figarino

2014-06-27 12:00 - 2014-06-27 12:00 - 00000000 ____D () C:\ProgramData\Panda Security

2014-06-27 12:00 - 2014-06-27 12:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Panda Security

2014-06-27 12:00 - 2014-06-27 12:00 - 00000000 ____D () C:\Program Files\Panda USB Vaccine

2014-06-27 11:59 - 2014-06-27 11:59 - 00848856 _____ (Panda Security ) C:\Users\A\Downloads\USBVaccineSetup.exe

2014-06-27 11:37 - 2014-06-27 11:37 - 00000000 ____D () C:\ProgramData\Malwarebytes

2014-06-27 11:36 - 2014-06-27 11:36 - 17292760 _____ (Malwarebytes Corporation ) C:\Users\A\Downloads\mbam-setup-2.0.2.1012.exe

2014-06-24 11:52 - 2014-03-18 18:02 - 00097648 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys

2014-06-24 10:56 - 2014-05-13 14:04 - 00000000 ____D () C:\Users\A\Desktop\***

2014-06-22 21:06 - 2014-06-21 22:02 - 04267964 _____ () C:\Users\A\Desktop\****.zip

2014-06-20 06:59 - 2009-07-14 04:37 - 00000000 ____D () C:\Windows\Microsoft.NET

2014-06-20 06:46 - 2014-04-13 12:14 - 00000000 ____D () C:\Program Files\Microsoft Office 15

2014-06-16 21:14 - 2009-07-14 04:37 - 00000000 ____D () C:\Windows\rescache

2014-06-16 15:53 - 2014-06-16 15:53 - 00000000 _____ () C:\Windows\setuperr.log

2014-06-16 08:40 - 2014-06-16 08:40 - 00100628 _____ () C:\Users\A\Documents\cc_20140616_084000.reg

2014-06-16 08:38 - 2014-05-13 13:37 - 00000000 ____D () C:\Windows\Minidump

2014-06-15 13:28 - 2014-05-13 13:17 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service

2014-06-15 12:54 - 2014-04-14 19:16 - 00000000 ____D () C:\Windows\system32\MRT

2014-06-15 12:53 - 2014-04-14 19:16 - 92708840 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe

2014-06-13 10:25 - 2014-03-18 18:22 - 00699056 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe

2014-06-13 10:25 - 2014-03-18 18:22 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl

2014-06-11 14:03 - 2014-06-11 14:03 - 00000000 ____D () C:\Program Files\Mozilla Firefox

2014-06-06 18:32 - 2014-05-27 08:18 - 00000000 ____D () C:\Users\A\Desktop\STICK
 

Some content of TEMP:

====================

C:\Users\A\AppData\Local\temp\avgnt.exe
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\explorer.exe => File is digitally signed

C:\Windows\system32\winlogon.exe => File is digitally signed

C:\Windows\system32\wininit.exe => File is digitally signed

C:\Windows\system32\svchost.exe => File is digitally signed

C:\Windows\system32\services.exe => File is digitally signed

C:\Windows\system32\User32.dll => File is digitally signed

C:\Windows\system32\userinit.exe => File is digitally signed

C:\Windows\system32\rpcss.dll => File is digitally signed

C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed
 
 

LastRegBack: 2014-06-30 08:37
 

==================== End Of Log ============================

--- --- ---

TFC - Temp File Cleaner

Lade dir

TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

Öffne die TFC.exe.
Vista und Win 7 User mit Rechtsklick "als Administrator starten".
Schließe alle anderen Programme.
Drücke auf den Button Start.
Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ist aber nur optional. Um Usertracking zu verhindern kann man gut die Firefox-Erweiterung Ghostery verwenden.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Cosinus,

zunächt nochmals vielen Dank für deine Hilfe!:party:

Einige Fragen bzw. Unklarheiten sowie ein Problem bestehen allerdings noch:

Kannst du mir bitte kurz erklären was du mit der Bezugnahme auf Cookies meinst? Hat diese ominöse "Java ska.vbs"-Datei hier ihren Ursprung? Wo sonst? Was ist das?
Das System läuft soweit, allerdings habe ich auch vorher, abgesehen von den Verknüpfungen auf den Sticks, auch nichts gemerkt.

Das Problem:

Die Sticks sind nach wie vor im Ausgangszustand. Wurden diese von den Programmen nicht erfasst oder habe ich einen Fehler gemacht?

Gruß,

Karlo

Lies doch mal den Text bitte richtig durch, ich hab hier keinen Zusammhang geschildert zwischen Cookies und deiner Schaddatei. Es ging darum um die alltägliche Werbeflut beim Surfen einzudämmen. Und was ein Cookie ist wurde auch erklärt über einen verlinkten Artikel.

Zitat:

Die Sticks sind nach wie vor im Ausgangszustand. Wurden diese von den Programmen nicht erfasst oder habe ich einen Fehler gemacht?

Ja und? Wir haben ja auch das System bereinigt, die Verknüpfungen auf dem Stick musst du schon selber löschen.

Mal als Tipp => http://www.trojaner-board.de/59624-a...ar-machen.html

Zitat:

Zitat von cosinus (Beitrag 1324900)

Gut, falsch verstanden. Entschuldige bitte.

Zitat:

Zitat von cosinus (Beitrag 1324900)

Ja und? Wir haben ja auch das System bereinigt, die Verknüpfungen auf dem Stick musst du schon selber löschen.

Die Verknüpfungen sind natürlich gelöscht, ein Löschen von Java Ska.vbs auf den Sticks ist dagegen nicht möglich.

Zitat:

Zitat von cosinus (Beitrag 1324900)

Mal als Tipp => http://www.trojaner-board.de/59624-a...ar-machen.html

Das habe ich gemacht, nur deshalb sind mir die entsprechenden Dateien auf den Sticks überhaupt aufgefallen.

Gruß

Zitat:

ein Löschen von Java Ska.vbs auf den Sticks ist dagegen nicht möglich.

Was heißt nicht möglich?! Fehlermeldung?!

Hat sich erledigt.:daumenhoc

Hatte es gestern oder vorgestern probiert, Datei "ließ sich löschen" war aber nach einer Aktualisierung des Ordners wieder da. Wollte zwischendurch nicht dran rumspielen, war deshalb noch auf dem Stand von "damals".
Danke nochmal!

Wollt ich doch sagen...wir haben nämlich alle Re-Infektionen ausgeschlossen. Mal so als Tipp:

Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:

Doppelklicken
Kontextmenü
Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.

Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern