Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI (https://www.trojaner-board.de/166383-w-vista-home-basic-trojaner-tr-crypt-xpack-gen-conduit-searchprotect-brantall-infiziert-probleme-avira-moeglicherweise-emsi.html)

schrauber 02.05.2015 14:05
1) brauchst Du nit, einfach im normalen Modus laufen lassen
2) Check Disk ist der Name des Programmes, welches dann gestartet wird durch einen Klick :)
3) Backup bedeutet Backup der Registry, nicht Wiederherstellung.
4) Ja, Daten sichern geht :)
5) Ja sind sie.

Undine R 06.05.2015 01:29
Hallo schrauber,

wollte mich mal zurückmelden. Ich habe inzwischen wenigstens meine Daten gesichert und den Eset-Onlinescanner nochmal laufen lassen und die Funde dort gelöscht. Ich hoffe, dass ich das Windows-Reparieren morgen oder übermorgen schaffe.

Gruß Undine :kaffee:

schrauber 06.05.2015 09:03
ok :)

Undine R 08.05.2015 15:24
Geschafft!

Habe die Windows-Reparatur durchgeführt. Scheint auch geklappt zu haben, obwohl das Programm unter 3. schrieb: "Der Windows-Ressoursenschutz hat beschädigte Dateien gefunden und konnte einige Dateien nicht reparieren."

Jedenfalls funktioniert die Systemwiederherstellung nun wieder und auch das Updaten scheint zu gehen (1 Update gemacht).

Dafür ist der Avira-Emailschutz wieder kaputt ... :aarr:


... hatte eine anstrengende Woche ... mein Kopf ist heute nicht mehr gebrauchsfähig ...

Gruß Undine

schrauber 09.05.2015 08:47
Avira neu installieren, dann ein frisches FRST log bitte :)

Undine R 09.05.2015 21:59
Hallo Schrauber,

Avira ist nun wieder heil (repariert).

Hier das neue FRST-Logfile:


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 26-04-2015 (ATTENTION: ====> FRST version is 13 days old and could be outdated)
Ran by Ute (administrator) on UTE-PC on 09-05-2015 22:18:58
Running from C:\Users\Ute\Desktop
Loaded Profiles: Ute (Available profiles: Ute)
Platform: Microsoft® Windows Vista™ Home Basic  Service Pack 1 (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 7 (Default browser: IE)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Microsoft Corporation) C:\Windows\System32\SLsvc.exe
(Emsisoft GmbH) C:\Program Files\Emsisoft Anti-Malware\a2service.exe
(SAMSUNG Electronics co., LTD.) C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
() C:\Program Files\Samsung\Samsung Recovery Solution III\WCScheduler.exe
(Giraffic) C:\Program Files\Giraffic\Veoh_GirafficWatchdog.exe
(Microsoft Corporation) C:\Program Files\Common Files\microsoft shared\VS7DEBUG\mdm.exe
() C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
() C:\Program Files\CyberLink\Shared files\RichVideo.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Giraffic) C:\Program Files\Giraffic\Veoh_Giraffic.exe
(Intel Corporation) C:\Windows\System32\igfxext.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(CyberLink) C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
(CyberLink Corp.) C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(CANON INC.) C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
(CANON INC.) C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Emsisoft GmbH) C:\Program Files\Emsisoft Anti-Malware\a2guard.exe
(Sonic Solutions) C:\Program Files\Common Files\Sonic Shared\CineTray.exe
(Microsoft Corporation) C:\Windows\System32\mobsync.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
() C:\Program Files\Samsung\Samsung Update Plus\SUPNotifier.exe
(Microsoft Corporation) C:\Windows\System32\wuauclt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avwebgrd.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
(RealNetworks, Inc.) C:\Program Files\Real\RealPlayer\Update\realsched.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [7420448 2009-04-21] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1049896 2008-08-28] (Synaptics, Inc.)
HKLM\...\Run: [UpdatePDRShortCut] => C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe [222504 2008-01-04] (CyberLink Corp.)
HKLM\...\Run: [UpdateLBPShortCut] => C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [103720 2008-12-24] (CyberLink)
HKLM\...\Run: [UpdateP2GoShortCut] => C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.)
HKLM\...\Run: [RemoteControl8] => C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe [91432 2009-04-16] (CyberLink Corp.)
HKLM\...\Run: [PDVD8LanguageShortcut] => C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe [50472 2009-04-16] (CyberLink Corp.)
HKLM\...\Run: [UpdatePPShortCut] => C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [UpdatePSTShortCut] => C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe [210216 2009-03-12] (CyberLink Corp.)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [41208 2012-12-19] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [TkBellExe] => C:\Program Files\Real\RealPlayer\update\realsched.exe [295512 2013-07-01] (RealNetworks, Inc.)
HKLM\...\Run: [CanonMyPrinter] => C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2565520 2011-03-14] (CANON INC.)
HKLM\...\Run: [CanonSolutionMenuEx] => C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE [1612920 2011-08-04] (CANON INC.)
HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [726320 2015-03-24] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM\...\Run: [emsisoft anti-malware] => c:\program files\emsisoft anti-malware\a2guard.exe [4886608 2015-03-23] (Emsisoft GmbH)
HKU\S-1-5-21-3319244995-2461475978-946539677-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\scrnsave.scr [10240 2006-11-02] (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk [2009-08-25]
ShortcutTarget: Microsoft Office.lnk -> C:\Program Files\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sonic CinePlayer Quick Launch.lnk [2009-08-27]
ShortcutTarget: Sonic CinePlayer Quick Launch.lnk -> C:\Program Files\Common Files\Sonic Shared\CineTray.exe (Sonic Solutions)

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3319244995-2461475978-946539677-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3319244995-2461475978-946539677-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_de
BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2012-12-18] (Adobe Systems Incorporated)
BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll [2013-04-16] (RealDownloader)
BHO: Canon Easy-WebPrint EX BHO -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> C:\Program Files\Canon\Easy-WebPrint EX\ewpexbho.dll [2010-11-08] (CANON INC.)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll [2014-04-14] (Oracle Corporation)
BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-11-07] (Google Inc.)
BHO: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-11-07] (Google Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll [2014-04-14] (Oracle Corporation)
Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -  No File
Toolbar: HKLM - No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL [2001-01-22] (Microsoft Corporation)
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll [2001-06-20] (Microsoft Corporation)
Handler: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\MSERO.DLL [2002-12-17] (Microsoft Corporation)
Winsock: Catalog9 01 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 03 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 04 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 05 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 06 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 07 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 08 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 19 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [507984 2013-07-29] (Avira Operations GmbH & Co. KG)

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_270.dll [2012-08-11] ()
FF Plugin: @canon.com/EPPEX -> C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL [2011-04-20] (CANON INC.)
FF Plugin: @java.com/DTPlugin,version=10.55.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [2014-04-14] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.55.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll [2014-04-14] (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.31211.0\npctrl.dll [2014-12-11] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)
FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=16.0.2.32 -> C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll [2013-07-01] (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.2 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll [2013-04-16] (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.2 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll [2013-04-16] (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.2 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll [2013-04-16] (RealNetworks, Inc.)
FF Plugin: @real.com/nprpplugin;version=16.0.2.32 -> C:\Program Files\Real\RealPlayer\Netscape6\nprpplugin.dll [2013-07-01] (RealPlayer)
FF Plugin: @realnetworks.com/npdlplugin;version=1 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll [2013-04-16] (RealDownloader)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll [2013-02-15] (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-3319244995-2461475978-946539677-1000: @citrixonline.com/appdetectorplugin -> C:\Users\Ute\AppData\Local\Citrix\Plugins\97\npappdetector.dll [2013-04-17] (Citrix Online)
FF Plugin HKU\S-1-5-21-3319244995-2461475978-946539677-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Ute\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-06] (Google Inc.)
FF Plugin HKU\S-1-5-21-3319244995-2461475978-946539677-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Ute\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-06] (Google Inc.)
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-12-31]
FF HKLM\...\Firefox\Extensions: [{FCE04E1F-9378-4f39-96F6-5689A9159E45}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext
FF Extension: RealDownloader - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-07-01]
FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext

Chrome:
=======
CHR Plugin: (Shockwave Flash) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\21.0.1180.75\PepperFlash\pepflashplayer.dll No File
CHR Plugin: (Shockwave Flash) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\42.0.2311.135\gcswf32.dll No File
CHR Plugin: (Remoting Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\42.0.2311.135\ppGoogleNaClPluginChrome.dll No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\Ute\AppData\Local\Google\Chrome\Application\42.0.2311.135\pdf.dll No File
CHR Plugin: (Conduit Chrome Plugin) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\fealnpfjifonchkodiffbdkfaipmpkhe\2.3.15.251_0\plugins/ConduitChromeApiPlugin.dll No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (CANON iMAGE GATEWAY Album Plugin Utility) - C:\Program Files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL (CANON INC.)
CHR Plugin: (Microsoft Office Live Plug-in for Firefox) - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
CHR Plugin: (Google Update) - C:\Users\Ute\AppData\Local\Google\Update\1.3.21.115\npGoogleUpdate3.dll No File
CHR Plugin: (Windows Presentation Foundation) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
CHR Profile: C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Bookmark Manager) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21]
CHR Extension: (Protect My Choices) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdgloanjhdcenjgiafkpbehddcnonlic [2013-11-20]
CHR Extension: (RealDownloader) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2013-07-01]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-13]
CHR Extension: (Google Wallet) - C:\Users\Ute\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-04-26]
CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-04-16]
StartMenuInternet: Google Chrome.OP2KX3NVXF4LPL4IVCMTX6SAAQ - C:\Users\Ute\AppData\Local\Google\Chrome\Application\chrome.exe

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 a2AntiMalware; C:\Program Files\Emsisoft Anti-Malware\a2service.exe [5020520 2015-03-23] (Emsisoft GmbH)
R2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [815352 2015-03-24] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [434424 2015-03-24] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [434424 2015-03-24] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [1004032 2015-03-24] (Avira Operations GmbH & Co. KG)
R2 Giraffic; C:\Program Files\Giraffic\Veoh_GirafficWatchdog.exe [2245232 2013-05-13] (Giraffic)
S2 MBAMService; C:\Program Files\Malwarebytes Anti-Malware\mbamservice.exe [1080120 2015-04-14] (Malwarebytes Corporation)
R2 MDM; C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe [270336 2001-02-23] (Microsoft Corporation) [File not signed]
R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] ()
R2 RichVideo; C:\Program Files\CyberLink\Shared files\RichVideo.exe [247152 2008-11-25] ()
S2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [272952 2008-01-21] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [105864 2015-03-24] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136216 2015-03-24] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2015-03-24] (Avira Operations GmbH & Co. KG)
R1 Cinemsup; C:\Windows\system32\Drivers\Cinemsup.sys [6656 2003-12-19] (Sonic Solutions) [File not signed]
R1 epp32; C:\Windows\System32\DRIVERS\epp32.sys [111368 2015-03-23] (Emsisoft GmbH)
R2 KMDFMEMIO; C:\Windows\System32\DRIVERS\kmdfmemio.sys [13312 2006-11-14] (SAMSUNG ELECTRONICS CO., LTD.)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2015-04-14] (Malwarebytes Corporation)
S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2015-04-14] (Malwarebytes Corporation)
R0 PxHelp20; C:\Windows\System32\Drivers\PxHelp20.sys [20640 2005-04-05] (Sonic Solutions) [File not signed]
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-07-29] (Avira GmbH)
U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-05-09 22:18 - 2015-05-09 22:19 - 00020852 _____ () C:\Users\Ute\Desktop\FRST.txt
2015-05-09 14:00 - 2015-05-09 14:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2015-05-08 16:31 - 2015-05-08 16:32 - 00000000 ____D () C:\c86e4f28fd0e31354b
2015-05-06 18:36 - 2015-05-06 18:36 - 00000000 ____D () C:\Users\Ute\Desktop\tweaking.com_windows_repair_aio
2015-05-06 18:30 - 2015-05-06 18:30 - 10661519 _____ () C:\Users\Ute\Desktop\tweaking.com_windows_repair_aio.zip
2015-05-05 11:26 - 2015-05-05 11:26 - 00001889 _____ () C:\Users\Public\Desktop\Avira Antivirus.lnk
2015-04-30 15:44 - 2015-04-30 15:44 - 00852616 _____ () C:\Users\Ute\Desktop\SecurityCheck.exe
2015-04-30 00:39 - 2015-04-30 00:39 - 02347384 _____ (ESET) C:\Users\Ute\Desktop\esetsmartinstaller_deu.exe
2015-04-29 23:26 - 2015-04-30 00:00 - 186726144 _____ () C:\Users\Ute\Downloads\avira_antivirus_de-de.exe
2015-04-26 19:11 - 2015-04-26 19:12 - 00056554 _____ () C:\Users\Ute\Desktop\Addition.txt
2015-04-26 19:07 - 2015-04-26 19:07 - 01140736 _____ (Farbar) C:\Users\Ute\Desktop\FRST.exe
2015-04-26 18:22 - 2015-04-26 18:22 - 00002577 _____ () C:\Users\Ute\Desktop\JRT.txt
2015-04-26 18:09 - 2015-04-26 18:09 - 00000207 _____ () C:\Windows\tweaking.com-regbackup-UTE-PC-Windows-Vista-(TM)-Home-Basic-(32-bit).dat
2015-04-26 18:09 - 2015-04-26 18:09 - 00000000 ____D () C:\RegBackup
2015-04-26 18:07 - 2015-04-26 18:07 - 02715764 _____ (Thisisu) C:\Users\Ute\Desktop\JRT.exe
2015-04-26 16:14 - 2015-04-26 16:30 - 00000000 ____D () C:\AdwCleaner
2015-04-26 16:09 - 2015-04-26 16:09 - 02224640 _____ () C:\Users\Ute\Desktop\AdwCleaner_4.202.exe
2015-04-26 11:10 - 2015-04-26 11:10 - 00000000 ____D () C:\Program Files\ESET
2015-04-26 11:09 - 2015-04-26 11:09 - 02347384 _____ (ESET) C:\Users\Ute\Downloads\esetsmartinstaller_deu (1).exe
2015-04-25 22:59 - 2015-04-25 23:00 - 02347384 _____ (ESET) C:\Users\Ute\Downloads\esetsmartinstaller_deu.exe
2015-04-25 01:19 - 2015-04-25 01:19 - 00051903 _____ () C:\ComboFix.txt
2015-04-25 00:38 - 2015-04-25 01:19 - 00000000 ____D () C:\Qoobox
2015-04-25 00:38 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-04-25 00:38 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-04-25 00:38 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-04-25 00:38 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-04-25 00:38 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-04-25 00:38 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe
2015-04-25 00:38 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe
2015-04-25 00:38 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe
2015-04-25 00:34 - 2015-04-25 00:34 - 05619466 ____R (Swearware) C:\Users\Ute\Desktop\ComboFix.exe
2015-04-24 20:16 - 2015-04-24 20:16 - 00141232 _____ () C:\Windows\Minidump\Mini042415-01.dmp
2015-04-24 20:15 - 2015-04-24 20:16 - 276515366 _____ () C:\Windows\MEMORY.DMP
2015-04-24 19:27 - 2015-04-25 01:13 - 00000000 ____D () C:\Windows\erdnt
2015-04-24 15:05 - 2015-04-24 15:05 - 00001057 _____ () C:\Users\Ute\Desktop\Revo Uninstaller.lnk
2015-04-24 15:04 - 2015-04-24 15:04 - 00000000 ____D () C:\Program Files\VS Revo Group
2015-04-24 14:59 - 2015-04-24 15:00 - 02623656 _____ (VS Revo Group Ltd.) C:\Users\Ute\Downloads\revosetup95.exe
2015-04-23 17:56 - 2015-04-23 17:56 - 00019413 _____ () C:\Users\Ute\Downloads\Gmer.txt
2015-04-23 17:11 - 2015-04-23 17:11 - 00380416 _____ () C:\Users\Ute\Downloads\d3tj1l52.exe
2015-04-23 16:42 - 2015-04-23 16:44 - 00085666 _____ () C:\Users\Ute\Downloads\Addition.txt
2015-04-23 16:41 - 2015-04-23 16:44 - 00044205 _____ () C:\Users\Ute\Downloads\FRST.txt
2015-04-23 16:40 - 2015-05-09 22:19 - 00000000 ____D () C:\FRST
2015-04-23 16:38 - 2015-04-23 16:39 - 01139200 _____ (Farbar) C:\Users\Ute\Downloads\FRST.exe
2015-04-23 16:27 - 2015-04-23 16:27 - 00000468 _____ () C:\Users\Ute\Downloads\defogger_disable.log
2015-04-23 16:27 - 2015-04-23 16:27 - 00000000 _____ () C:\Users\Ute\defogger_reenable
2015-04-23 16:24 - 2015-04-23 16:24 - 00050477 _____ () C:\Users\Ute\Downloads\Defogger.exe
2015-04-23 15:17 - 2015-04-23 15:17 - 00000194 _____ () C:\Users\Ute\Downloads\hosts-perm (1).bat
2015-04-23 12:12 - 2015-04-23 12:12 - 00000194 _____ () C:\Users\Ute\Downloads\hosts-perm.bat
2015-04-22 17:34 - 2015-04-22 17:34 - 00000000 ____D () C:\ProgramData\Emsisoft
2015-04-22 15:44 - 2015-04-22 15:44 - 00000888 _____ () C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
2015-04-22 15:44 - 2015-04-22 15:44 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
2015-04-22 15:43 - 2015-05-09 21:32 - 00000000 ____D () C:\Program Files\Emsisoft Anti-Malware
2015-04-22 15:43 - 2015-03-23 23:17 - 00111368 _____ (Emsisoft GmbH) C:\Windows\system32\Drivers\epp32.sys
2015-04-22 00:02 - 2015-04-25 21:46 - 00000000 ____D () C:\Users\Ute\AppData\Local\CrashDumps
2015-04-21 22:44 - 2015-04-21 22:44 - 00000000 ____D () C:\Users\Ute\Documents\RogueKiller_bundle_10.6[1]
2015-04-21 15:48 - 2015-04-23 15:25 - 00035064 _____ () C:\Windows\system32\Drivers\TrueSight.sys
2015-04-21 15:48 - 2015-04-21 20:15 - 00000000 ____D () C:\ProgramData\RogueKiller
2015-04-21 13:54 - 2015-04-21 13:55 - 04197016 _____ (Kaspersky Lab ZAO) C:\Users\Ute\Downloads\tdsskiller.exe
2015-04-21 12:24 - 2015-04-21 12:24 - 00000000 ____D () C:\TDSSKiller_Quarantine
2015-04-19 14:34 - 2015-05-08 16:37 - 00119512 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-04-19 14:33 - 2015-04-19 14:33 - 00000899 _____ () C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2015-04-19 14:33 - 2015-04-19 14:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware
2015-04-19 14:33 - 2015-04-19 14:33 - 00000000 ____D () C:\ProgramData\Malwarebytes
2015-04-19 14:33 - 2015-04-19 14:33 - 00000000 ____D () C:\Program Files\Malwarebytes Anti-Malware
2015-04-19 14:33 - 2015-04-14 09:37 - 00092888 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-04-19 14:33 - 2015-04-14 09:37 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-04-19 14:33 - 2015-04-14 09:37 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-04-19 14:12 - 2015-04-19 14:17 - 21546080 _____ (Malwarebytes Corporation ) C:\Users\Ute\Downloads\mbam-setup-majorgeeks-2.1.6.1022.exe
2015-04-10 18:51 - 2015-04-27 22:20 - 00000000 ____D () C:\Users\Ute\meine Lernkartei
2015-04-10 18:36 - 2015-04-27 22:16 - 00000298 _____ () C:\Users\Ute\konfig.new
2015-04-10 18:30 - 2015-04-10 21:22 - 00000000 ____D () C:\Users\Ute\Tutorial
2015-04-10 18:30 - 2015-04-10 18:30 - 00000552 _____ () C:\Users\Ute\AppData\Roaming\Microsoft\Windows\Start Menu\Lernkartei.lnk
2015-04-10 18:30 - 2015-04-10 18:30 - 00000542 _____ () C:\Users\Public\Desktop\Lernkartei.lnk

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-05-09 22:17 - 2013-07-29 22:15 - 00000000 ____D () C:\Program Files\Giraffic
2015-05-09 22:14 - 2009-08-26 19:59 - 00000000 ____D () C:\Users\Ute\Documents\Eigene Dokumente
2015-05-09 21:31 - 2012-08-11 20:55 - 00001112 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3319244995-2461475978-946539677-1000UA.job
2015-05-09 20:45 - 2006-11-02 14:45 - 00004784 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2015-05-09 20:45 - 2006-11-02 14:45 - 00004784 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2015-05-09 18:11 - 2009-08-24 16:42 - 00000414 ____H () C:\Windows\Tasks\User_Feed_Synchronization-{0A1A3F3F-E741-4716-89DA-54FD6F86772A}.job
2015-05-09 15:05 - 2009-06-16 03:06 - 01190834 _____ () C:\Windows\WindowsUpdate.log
2015-05-09 13:43 - 2013-07-29 22:15 - 00000000 ____D () C:\ProgramData\Giraffic
2015-05-07 19:05 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\rescache
2015-05-07 18:51 - 2006-11-02 12:33 - 01354300 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-05-07 18:47 - 2009-08-24 15:51 - 00000000 ____D () C:\Users\Ute\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite
2015-05-07 18:45 - 2006-11-02 14:58 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-05-07 15:44 - 2006-11-02 14:58 - 00032534 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2015-05-07 12:00 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\system32\it-IT
2015-05-07 12:00 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\system32\fr-FR
2015-05-07 12:00 - 2006-11-02 13:18 - 00000000 ____D () C:\Windows\system32\de-DE
2015-05-06 22:02 - 2009-08-24 15:58 - 00125424 _____ () C:\Users\Ute\AppData\Local\GDIPFONTCACHEV1.DAT
2015-05-06 21:56 - 2008-01-21 05:02 - 01556286 _____ () C:\Windows\PFRO.log
2015-05-06 21:56 - 2006-11-02 14:44 - 00439792 _____ () C:\Windows\system32\FNTCACHE.DAT
2015-05-02 18:31 - 2006-11-02 14:49 - 00158326 _____ () C:\Windows\setupact.log
2015-04-29 17:25 - 2012-08-09 21:11 - 00778416 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2015-04-29 17:25 - 2012-03-14 01:32 - 00142512 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2015-04-27 22:25 - 2015-03-25 20:08 - 00000000 ____D () C:\Users\Ute\AppData\Roaming\MuseScore
2015-04-27 22:16 - 2011-05-15 10:49 - 00000298 _____ () C:\Users\Ute\konfig.dat
2015-04-25 01:19 - 2006-11-02 13:18 - 00000000 __RHD () C:\Users\Default
2015-04-25 01:19 - 2006-11-02 13:18 - 00000000 ___RD () C:\Users\Public
2015-04-25 01:08 - 2006-11-02 12:23 - 00000215 _____ () C:\Windows\system.ini
2015-04-25 01:03 - 2006-11-02 12:22 - 41680896 _____ () C:\Windows\system32\config\COMPON~3.bak
2015-04-25 01:03 - 2006-11-02 12:22 - 36175872 _____ () C:\Windows\system32\config\software.bak
2015-04-25 01:03 - 2006-11-02 12:22 - 19398656 _____ () C:\Windows\system32\config\system.bak
2015-04-25 01:03 - 2006-11-02 12:22 - 00524288 _____ () C:\Windows\system32\config\default.bak
2015-04-25 01:03 - 2006-11-02 12:22 - 00262144 _____ () C:\Windows\system32\config\security.bak
2015-04-25 01:03 - 2006-11-02 12:22 - 00262144 _____ () C:\Windows\system32\config\sam.bak
2015-04-25 01:02 - 2006-11-02 12:23 - 00000027 _____ () C:\Windows\system32\Drivers\etc\hosts_bak_212
2015-04-24 20:16 - 2009-09-13 01:24 - 00000000 ____D () C:\Windows\Minidump
2015-04-24 16:08 - 2011-01-21 16:02 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cultures Saga
2015-04-23 16:27 - 2009-08-24 15:51 - 00000000 ____D () C:\Users\Ute
2015-04-22 13:06 - 2011-02-11 08:45 - 00000000 ____D () C:\Users\Ute\Documents\zu Spielen u. Sonstiges
2015-04-20 18:43 - 2009-06-15 11:09 - 00000000 ___HD () C:\Program Files\InstallShield Installation Information
2015-04-20 18:40 - 2014-06-27 20:25 - 00000000 ____D () C:\Program Files\Drakensang - Am Fluss der Zeit
2015-04-20 18:36 - 2009-08-27 22:06 - 00000000 ____D () C:\XP-Spiele
2015-04-20 18:33 - 2011-01-17 18:31 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Purplehills
2015-04-20 18:33 - 2011-01-17 18:31 - 00000000 ____D () C:\Program Files\Purplehills
2015-04-19 21:22 - 2014-04-02 15:41 - 00000000 ____D () C:\Users\Ute\AppData\Local\TB
2015-04-19 16:05 - 2012-05-23 23:59 - 00000000 ____D () C:\ProgramData\YTD YouTube Downloader & Converter
2015-04-15 17:06 - 2013-07-18 03:09 - 00000000 ____D () C:\Windows\system32\MRT
2015-04-15 16:54 - 2006-11-02 12:24 - 125832184 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2015-04-11 15:49 - 2009-08-26 20:00 - 00000000 ____D () C:\Users\Ute\Documents\Eigene Gedichte

==================== Files in the root of some directories =======

2009-11-07 00:27 - 2007-03-14 12:49 - 0010752 _____ (Arcor Online GmbH) C:\Users\Ute\AppData\Local\cmdial32.dll
2014-03-02 13:49 - 2014-03-02 13:49 - 0000552 _____ () C:\Users\Ute\AppData\Local\d3d8caps.dat
2009-08-24 19:11 - 2013-09-07 22:38 - 0009216 _____ () C:\Users\Ute\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2009-06-15 11:24 - 2009-06-15 11:24 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2009-06-15 11:21 - 2009-06-15 11:22 - 0000106 _____ () C:\ProgramData\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}.log
2009-06-15 11:16 - 2009-06-15 11:18 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2009-06-15 11:22 - 2009-06-15 11:24 - 0000110 _____ () C:\ProgramData\{B7A0CE06-068E-11D6-97FD-0050BACBF861}.log
2009-06-15 11:18 - 2009-06-15 11:21 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log

Files to move or delete:
====================
C:\Users\Ute\AxInterop.WMPLib.dll
C:\Users\Ute\Interop.WMPLib.dll
C:\Users\Ute\konfig.dat
C:\Users\Ute\Lernkartei.exe


Some content of TEMP:
====================
C:\Users\Ute\AppData\Local\temp\avgnt.exe
C:\Users\Ute\AppData\Local\temp\Quarantine.exe
C:\Users\Ute\AppData\Local\temp\sqlite3.dll


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-05-09 19:04

==================== End Of Log ============================
--- --- ---



Gruß Undine

schrauber 10.05.2015 06:53
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.




Noch PRobleme mit dem Rechner?

Undine R 11.05.2015 00:29
Hallo schrauber,

hier der Fixlog:

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 09-05-2015
Ran by Ute at 2015-05-11 01:00:20 Run:1
Running from C:\Users\Ute\Desktop
Loaded Profiles: Ute (Available profiles: Ute)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Emptytemp:
*****************

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
EmptyTemp: => Removed 23.2 GB temporary data.


The system needed a reboot.

==== End of Fixlog 01:01:53 ====
Vor dem Fix mit FRST lief alles, soweit ich beurteilen kann, problemlos.

Gruß Undine

schrauber 11.05.2015 10:24
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren .
  • Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  • Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
  • Klicke auf OK.
    Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
  • Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

http://deeprybka.trojaner-board.de/b...ast/schild.pngAbsicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
 Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.
Meine Empfehlung:
http://filepony.de/icon/emsisoft_anti_malware.png
Emsisoft

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwarecleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Undine R 11.05.2015 18:19
Ui, dann mache ich mich mal an's aufräumen!

Schon mal gaaaanz herzlichen Dank für Ihre Hilfe und Geduld :abklatsch: :bussi: !

Manchmal hatte ich echt Muffensausen :crazy:, aber es hat letztlich immer alles funktioniert!


Sollte es noch Probleme geben oder sollten noch Fragen auftauchen, melde ich mich nochmal.

Aber ich werde zum Aufräumen wohl etwas Zeit brauchen ...

Ganz herzliche Grüße

eine sehr erleichterte Undine


--------------

Bin's doch nochmal.

Nach den ersten beiden Schritten (Defogger re-enable und Combofix deinstallieren) funktionierte das Avira Icon auf dem Desktop nicht mehr (das kleine in der Schnellstartleiste schon) und ließ sich erstmal auch nicht reparieren.

Habe dann nochmal mit Malwarebytes gescannt (kein Fund) und mit Emsisoft (2 Funde).

Hier der Logfile des Emsi-Scans:

Code:
Emsisoft Anti-Malware - Version 10.0
Letztes Update: 11.05.2015 17:16:04
Benutzerkonto: Ute-PC\Ute

Scan-Einstellungen:

Scan Methode: Malware Scan
Objekte: Rootkits, Speicher, Traces, Dateien

PUPs-Erkennung: An
Archiv-Scan: Aus
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan-Beginn:        11.05.2015 18:59:07
Value: HKEY_USERS\S-1-5-21-3319244995-2461475978-946539677-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS        gefunden: Setting.DisableRegistryTools (A)
Value: HKEY_USERS\S-1-5-21-3319244995-2461475978-946539677-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS        gefunden: Setting.DisableRegistryTools (A)

Gescannt        69222
Gefunden        2

Scan-Ende:        11.05.2015 19:03:47
Scan-Zeit:        0:04:40

Wie soll ich jetzt weiter vorgehen?

(Erstmal lade ich das Avira-Programm neu aus dem Internet runter und versuche nochmal zu reparieren ...)

Gruß Undine

schrauber 12.05.2015 07:10
Avira neu installieren, die beiden Funde einfach Löschen :)

Undine R 16.05.2015 12:16
Hallo Schrauber,

ich muss mich doch nochmal melden mit Fragen und Problemen.

Frage: Wie bekomme ich GMER gelöscht?

Problem: Nach "Delfix" habe ich ein Problem mit der "Zuletzt verwendet" Verknüpfung. Von dort erreiche ich Word-Dokumente, die ich ständig benutze. Nun wird das aber zugemüllt seit Delfix, weil unter "Zuletzt verwendet" bei jedem Öffnen oder teilweise sogar nur Verändern des Dokumentes weitere Links dergestalt hinzufügt werden: "Für Trojaner-Board (2), Für Trojaner-Board (3), Für Trojaner-Board (4), Für Trojaner-Board (5) ..."
Bin ständig dabei diese überzähligen Verknüpfungen zu löschen. Das nervt! (Die ursprüngliche Verknüpfung funktioniert problemlos weiter.)


Delfix wurde vom Emsi-Soft-Scanner als “gefährlich” eingestuft und in die Quaranäne verschoben. Ich musste das Programm erstmal von dort wiederherstellen und Emsisoft deaktivieren, damit es funktionierte.

Hier das Logfile von Delfix:

Code:
Logfile:
# DelFix v10.9 - Datei am 14/05/2015 um 21:48:43 erstellt
# Aktualisiert am 27/02/2015 von Xplode
# Benutzer : Ute - UTE-PC
# Betriebssystem : Windows Vista (TM) Home Basic Service Pack 1 (32 bits)

~ Aktiviere die Benutzerkontensteuerung ... OK

~ Entferne die Bereinigungsprogramme ...

Gelöscht : C:\32788R22FWJFW
Gelöscht : C:\FRST
Gelöscht : C:\TDSSKiller_Quarantine
Gelöscht : C:\AdwCleaner
Gelöscht : C:\Users\Ute\Desktop\FRST-OlderVersion
Gelöscht : C:\ComboFix.txt
Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_12.08.25_log.txt
Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_12.29.02_log.txt
Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_13.58.42_log.txt
Gelöscht : C:\TDSSKiller.3.0.0.44_21.04.2015_14.02.32_log.txt
Gelöscht : C:\TDSSKiller.3.0.0.44_22.04.2015_00.18.11_log.txt
Gelöscht : C:\TDSSKiller.3.0.0.44_23.04.2015_11.44.43_log.txt
Gelöscht : C:\Users\Ute\Desktop\Addition.txt
Gelöscht : C:\Users\Ute\Desktop\AdwCleaner_4.202.exe
Gelöscht : C:\Users\Ute\Desktop\esetsmartinstaller_deu.exe
Gelöscht : C:\Users\Ute\Desktop\Fixlog.txt
Gelöscht : C:\Users\Ute\Desktop\FRST.exe
Gelöscht : C:\Users\Ute\Desktop\FRST.txt
Gelöscht : C:\Users\Ute\Desktop\JRT.exe
Gelöscht : C:\Users\Ute\Desktop\JRT.txt
Gelöscht : C:\Users\Ute\Desktop\SecurityCheck.exe
Gelöscht : C:\Users\Ute\Downloads\Addition.txt
Gelöscht : C:\Users\Ute\Downloads\Defogger.exe
Gelöscht : C:\Users\Ute\Downloads\defogger_disable.log
Gelöscht : C:\Users\Ute\Downloads\defogger_enable.log
Gelöscht : C:\Users\Ute\Downloads\esetsmartinstaller_deu (1).exe
Gelöscht : C:\Users\Ute\Downloads\esetsmartinstaller_deu.exe
Gelöscht : C:\Users\Ute\Downloads\FRST.exe
Gelöscht : C:\Users\Ute\Downloads\FRST.txt
Gelöscht : C:\Users\Ute\Downloads\tdsskiller.exe
Gelöscht : HKLM\SOFTWARE\AdwCleaner
Gelöscht : HKLM\SOFTWARE\Swearware

~ Erstelle ein Backup der Registrierungsdatenbank ... OK

~ Lösche die Wiederherstellungspunkte ...

Gelöscht : RP #2906 [Geplanter Prüfpunkt | 05/11/2015 14:45:13]
Gelöscht : RP #2907 [Windows Update | 05/12/2015 23:00:12]
Gelöscht : RP #2908 [Geplanter Prüfpunkt | 05/13/2015 22:16:07]

Ein neuer Wiederherstellungspunkt wurde erstellt !

~ Stelle die Systemeinstellungen wieder her ... OK

########## - EOF - ##########
Nach Delfix Avira Emailscanner repariert (zum vierten Mal inzwischen :crazy:).

Habe Java, Adobe-Reader und Adobe Flash Player dank Ihrer Links gut aktualisiert bekommen.

Leider gibt es weiter Probleme mit dem Updaten auf den aktuellen Internet Explorer. Ich habe mir die Einstellungen meines DSL-Gerätes angesehen (meine Telefon- und Internetverbindung ist alt - und super billig, wichtig für mich ...). Leider kann man den Browser nicht umstellen. Die Verbindung wird standartmäßig über den Internet-Explorer gestartet, auch wenn ich an anderer Stelle Chrome als Standartbrowser festgelegt hatte (funktioniert für Links aus Word-Dokumenten).

Das Problem mit dem Updaten vom Internet Explorer ist, das ich noch W. Vista Service Pack 1 habe, der nicht mehr unterstützt wird. Trotz Anleitung "Informationen zum Installieren von Windows Vista Service Pack 2 (SP2)" bin ich immer noch nicht weiter ...

Werde heute weiter probieren ... Aber wenn Sie eine Idee haben ...

Gruß Undine



Inzwischen bin ich mit dem Windows Updater immerhin soweit, dass ich das Update für den Vista Service Pack 2 angezeigt bekomme ... Aber bei 50 % der Installation ist jedesmal Ende, es geht nichts mehr weiter und ist auch nach einer halben Stunde immer noch bei 50 %.

Ich habe das Update von Vista Service Pack 2 nun drei Mal abgebrochen. Nach dem ersten Versuch fand ich 14 weitere wichtige Updates zum Installieren, was auch klappte. ... Beim letzten Versuch hatte ich Antiviren-Programme und Firewall deaktiviert, funktionierte auch nicht.

Ein weiteres Problem ist aufgetaucht: Emails zu schicken klappt nicht (empfangen schon). Ob dieses Problem erst durch die Update-Versuche entstanden ist, oder schon davor kann ich nicht sagen. Ich hatte - sofern mein Email-Schutz funktionierte - immer meine Mails gelesen (auch Links z. B. nach hier benutzt) aber keine eigenen Mails geschickt.

Hier die Anzeigen der letzten beiden Versuche (... statt persönliches):
Betreff … Protokoll: SMTP, Serverantwort: '454 TLS not available due to temporary reason', Port: 25, Secure (SSL): Ja, Serverfehler: 454, Fehlernummer: 0x800CCC7F

Und nach Neustart beim nächsten Versuch: Unbekannter Fehler. Betreff … Protokoll: SMTP, Port: 25, Secure (SSL): Ja, Fehlernummer: 0x800CCC0B

Gruß Undine



Hallo schrauber,

inzwischen habe ich es geschafft den Service Pack 2 manuell zu installieren (nachdem ich alle vorher nötigen Updates mit dem Windows Updater gemacht hatte, die SP2-Installation per Updater aber nicht klappte) und dann den Windows Explorer 9 installiert (der Link von Filepony funktionierte nicht richtig, leitete zwar zu Microsoft Windows weiter, aber nicht zum Internet Explorer 11).



Die Probleme mit "zuletzt verwendet" und dem Senden von Mails bestehen aber weiterhin. Was kann ich da machen?

Gruß Undine

schrauber 17.05.2015 07:26
Hast Du es mal beim Emailanbieter auf der Weboberfläche versucht? Die Fehlermeldung ist eigentlich eindeutig und zeigt nen Error beim Anbieter.

Undine R 17.05.2015 14:12
Hallo schrauber,

beim Email-Anbieter, auf dessen Webseite klappt das Senden. Das habe ich gestern ausprobiert, weil ich die Mail unbedingt senden wollte. Nur bei Windows Mail, das ich üblicherweise benutze, funktioniert das Senden nicht.

Gruß Undine

schrauber 18.05.2015 09:08
Zitat:
SMTP, Serverantwort: '454 TLS not available due to temporary reason', Port: 25, Secure (SSL): Ja, Serverfehler: 454, Fehlernummer: 0x800CCC7F
Einstellungen zum Senden in Windows Mail kontrollieren, evtl testweise auf schwächere Verschlüsselung umstellen oder Anbieter kontaktieren :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:18 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27