Trojaner-Board - Trojan.Agent.ED und Trojan.FakeMS.zb

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.Agent.ED und Trojan.FakeMS.zb (https://www.trojaner-board.de/133296-trojan-agent-ed-trojan-fakems-zb.html)

Trojan.Agent.ED und Trojan.FakeMS.zb

Hallo,

gestern habe ich einen Mailanhang geöffnet, den ich glaube ich nicht öffnen hätte sollen. Es war eine Mahnung. Erst danach habe ich gelesen, dass diese Mails einen Trojaner enthalten. Ich habe allerdings nur das Zip geöffnet und keine Datei angeklickt. Bin erstmal auf Wikipedia, was ein Trojaner überhaupt ist, dann auf Chip.de und darüber nun auf euer Forum gestoßen. Ich bin dann der obigen Anleitung gefolgt, habe mir Malwarebytes Anti-Malware runtergeladen und laufen lassen, dabei wurden drei Trojaner entdeckt, die nun in Quarantäne sind. Ich habe nun versucht, mich im Forum über die weiteren Schritte schlau zu machen, habe auch verschiedene Beiträge gelesen. Jedoch bin ich völlig überfordert, was davon auf mich zutrifft und was ich nun machen soll. Außer ein wenig rumsurfen, ITunes, Word und Excel benutze ich mein Laptop kaum. Deswegen eröffne ich, auch auf die Gefahr hin das eine oder andere Augenrollen auszulösen, nun doch ein neues Thema, da mein Laptop anscheinend noch nicht sauber ist.

Das war die Meldung, nachdem ich die Trojaner in Quarantäne verschoben habe:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.06.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: SHEHERAZADE [Administrator]

Schutz: Aktiviert

06.04.2013 13:29:54
mbam-log-2013-04-06 (13-29-54).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237385
Laufzeit: 6 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xnrkryvv (Trojan.Agent.ED) -> Daten: C:\Users\***\AppData\Roaming\Ymwpmmpyw\rruvvlryvv.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\***\AppData\Roaming\Ymwpmmpyw\rruvvlryvv.exe (Trojan.Agent.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\{838F-4CAF6F8-4CAFAF8} (Trojan.FakeMS.zb) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Vielen Dank und viele Grüße
Kerstin

:hallo:

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

dann:

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

dann:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo t'john,

vielen Dank, dass Du Dich meiner Trojaner annimmst.

Ich habe gerade das Problem, dass der Downloadlink für Malwarebites Anti-Rootkit nicht funktioniert, weil es Malwarebites als schädliche Website einstuft, sich also irgendwie selbst blockiert.

Soll ich mein Virenprogramm ausschalten? Oder Malwarebites? Allerdings weiß ich nicht wie. Habe bei Malwarbites alle Häkchen weggemacht, es geht trotzdem nicht.

Viele Grüße
Kerstin

Virenprogramm ausschalten oder Deinstallieren!

Welches Programm meldet das?

Malwarebites meldet das. Ich habe noch mal alle Häckchen weggemacht, und Avira ausgeschaltet. Es geht nicht.

Kannst du mal ein Screenshot davon machen?

Hallo t'john,

irgendwie klappt das mit dem Screenshot einfügen nicht, Datei hochladen klappt auch nicht. Ich bin gerade im Urlaub und habe ein total langsame Internetverbindung. Vielleicht liegt es daran, vielleicht stehe ich auch mal wieder auf mehreren Leitungen gleichzeitig. Seit ich bei Malwarebites Anti-Malware die Häckchen weggemacht habe, kommt die zusätzliche Meldung nicht mehr. Vorher ist unten rechts ein Fenster aufgegangen, dass Malwarebites Anti-Malware eine bösartige Website identifiziert hat und den Vorgang gestoppt hat. Das Ergebnis ist jedoch die gleiche Seite:

Auf der Seite des Downloadlinks kommt dann diese Meldung:

Fehler: Verbindung unterbrochen

Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde

Die Website könnte vorübergehend nicht erreichbar sein, versuchen Sie es bitte
später nochmals.
Wenn Sie auch keine andere Website aufrufen können, überprüfen Sie bitte die
Netzwerk-/Internetverbindung.
Wenn Ihr Computer oder Netzwerk von einer Firewall oder einem Proxy geschützt wird,
stellen Sie bitte sicher, dass Firefox auf das Internet zugreifen darf.

Sonst funktioniert alles im Internet. Firefox hat auch Zugriff. Sorry, dass ich so planlos bin. Normalerweise kann ich Anleitungen schon folgen, auch wenn ich inhaltlich keinen Schimmer habe...

Danke und viele Grüße
Kerstin

OK:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo t'john,
das hat jetzt geklappt. Irgendwie gehen meine ganzen Browser gerade den Bach runter. Wenn ich den Internet Exploerer öffne, erscheint ein blauer Bildschirm und alles stürzt ab. Beim Chrome friert das Bild ständig ein und beim Firefox kommt ständig eine Meldung, dass er nicht mehr funktioniert. Aber jetzt habe ich es geschafft. Hier das Logfile:

Code:

ComboFix 13-04-08.02 - Kerstin *** 08.04.2013  21:25:26.1.4 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4030.2049 [GMT 2:00]

ausgeführt von:: c:\users\Kerstin ***\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\SaveByclick

c:\programdata\Microsoft\Windows\Start Menu\Programs\SaveByclick\SaveByclick.lnk

c:\programdata\Microsoft\Windows\Start Menu\Programs\SaveByclick\Uninstall.lnk

c:\users\Kerstin ***\AppData\Local\Microsoft\Windows\Temporary Internet Files\{B13C77AE-09F2-46DE-896E-99BF70E4B118}.xps

c:\users\Kerstin ***\AppData\Roaming\Saynur

c:\users\Kerstin ***\AppData\Roaming\Saynur\keuk.exe

c:\windows\IsUn0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-03-08 bis 2013-04-08  ))))))))))))))))))))))))))))))

.

.

2013-04-06 11:23 . 2013-04-06 11:23        --------        d-----w-        c:\users\Kerstin ***\AppData\Roaming\Malwarebytes

2013-04-06 11:23 . 2013-04-06 11:23        --------        d-----w-        c:\programdata\Malwarebytes

2013-04-06 11:23 . 2013-04-06 11:23        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2013-04-06 11:23 . 2012-12-14 14:49        24176        ----a-w-        c:\windows\system32\drivers\mbam.sys

2013-04-06 09:38 . 2013-04-08 15:28        --------        d-----w-        c:\users\Kerstin ***\AppData\Roaming\Arulk

2013-04-06 09:38 . 2013-04-06 09:38        --------        d-----w-        c:\users\Kerstin ***\AppData\Roaming\Quyv

2013-04-06 09:37 . 2013-04-06 11:47        --------        d-----w-        c:\users\Kerstin ***\AppData\Roaming\Ymwpmmpyw

2013-03-31 06:18 . 2013-03-31 06:18        28600        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2013-03-31 06:18 . 2013-03-31 06:18        130016        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2013-03-31 06:18 . 2013-03-31 06:18        100712        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2013-03-17 22:38 . 2013-02-12 04:12        19968        ----a-w-        c:\windows\system32\drivers\usb8023.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-03-17 23:52 . 2012-01-25 21:00        72013344        ----a-w-        c:\windows\system32\MRT.exe

2013-03-17 23:45 . 2012-10-18 08:01        693976        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe

2013-03-17 23:45 . 2012-01-24 22:20        73432        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2013-02-28 08:35 . 2013-01-24 21:14        287840        ----a-w-        c:\windows\system32\aswBoot.exe

2013-02-12 05:45 . 2013-03-17 22:38        135168        ----a-w-        c:\windows\apppatch\AppPatch64\AcXtrnal.dll

2013-02-12 05:45 . 2013-03-17 22:38        308736        ----a-w-        c:\windows\apppatch\AppPatch64\AcGenral.dll

2013-02-12 05:45 . 2013-03-17 22:38        350208        ----a-w-        c:\windows\apppatch\AppPatch64\AcLayers.dll

2013-02-12 05:45 . 2013-03-17 22:38        111104        ----a-w-        c:\windows\apppatch\AppPatch64\acspecfc.dll

2013-02-12 04:48 . 2013-03-17 22:38        474112        ----a-w-        c:\windows\apppatch\AcSpecfc.dll

2013-02-12 04:48 . 2013-03-17 22:38        2176512        ----a-w-        c:\windows\apppatch\AcGenral.dll

2013-02-08 00:28 . 2013-03-05 14:22        9162192        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{58E18944-2034-4EA1-B3B0-AD1457F04EB6}\mpengine.dll

2013-01-17 00:28 . 2013-01-25 23:20        273840        ------w-        c:\windows\system32\MpSigStub.exe

2013-01-13 21:17 . 2013-03-01 17:12        9728        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-shlwapi-l1-1-0.dll

2013-01-13 21:17 . 2013-03-01 17:12        2560        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-normaliz-l1-1-0.dll

2013-01-13 21:16 . 2013-03-01 17:12        10752        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-advapi32-l1-1-0.dll

2013-01-13 21:12 . 2013-03-01 17:12        3584        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-advapi32-l2-1-0.dll

2013-01-13 21:11 . 2013-03-01 17:12        4096        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-user32-l1-1-0.dll

2013-01-13 21:11 . 2013-03-01 17:12        5632        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-ole32-l1-1-0.dll

2013-01-13 21:11 . 2013-03-01 17:12        5632        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-shlwapi-l2-1-0.dll

2013-01-13 21:11 . 2013-03-01 17:12        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-version-l1-1-0.dll

2013-01-13 21:11 . 2013-03-01 17:12        3072        ---ha-w-        c:\windows\SysWow64\api-ms-win-downlevel-shell32-l1-1-0.dll

2013-01-13 20:35 . 2013-03-01 17:12        9728        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-shlwapi-l1-1-0.dll

2013-01-13 20:35 . 2013-03-01 17:12        2560        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-normaliz-l1-1-0.dll

2013-01-13 20:35 . 2013-03-01 17:12        10752        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-advapi32-l1-1-0.dll

2013-01-13 20:32 . 2013-03-01 17:12        3584        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-advapi32-l2-1-0.dll

2013-01-13 20:31 . 2013-03-01 17:12        4096        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-user32-l1-1-0.dll

2013-01-13 20:31 . 2013-03-01 17:12        5632        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-ole32-l1-1-0.dll

2013-01-13 20:31 . 2013-03-01 17:12        5632        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll

2013-01-13 20:31 . 2013-03-01 17:12        3072        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-version-l1-1-0.dll

2013-01-13 20:31 . 2013-03-01 17:12        3072        ---ha-w-        c:\windows\system32\api-ms-win-downlevel-shell32-l1-1-0.dll

2013-01-13 20:31 . 2013-03-01 17:11        1247744        ----a-w-        c:\windows\SysWow64\DWrite.dll

2013-01-13 20:22 . 2013-03-01 17:12        1988096        ----a-w-        c:\windows\SysWow64\d3d10warp.dll

2013-01-13 20:20 . 2013-03-01 17:12        293376        ----a-w-        c:\windows\SysWow64\dxgi.dll

2013-01-13 20:09 . 2013-03-01 17:12        249856        ----a-w-        c:\windows\SysWow64\d3d10_1core.dll

2013-01-13 20:08 . 2013-03-01 17:12        220160        ----a-w-        c:\windows\SysWow64\d3d10core.dll

2013-01-13 20:08 . 2013-03-01 17:12        1504768        ----a-w-        c:\windows\SysWow64\d3d11.dll

2013-01-13 19:59 . 2013-03-01 17:11        1643520        ----a-w-        c:\windows\system32\DWrite.dll

2013-01-13 19:58 . 2013-03-01 17:11        1175552        ----a-w-        c:\windows\system32\FntCache.dll

2013-01-13 19:54 . 2013-03-01 17:12        604160        ----a-w-        c:\windows\SysWow64\d3d10level9.dll

2013-01-13 19:53 . 2013-03-01 17:11        207872        ----a-w-        c:\windows\SysWow64\WindowsCodecsExt.dll

2013-01-13 19:53 . 2013-03-01 17:12        187392        ----a-w-        c:\windows\SysWow64\UIAnimation.dll

2013-01-13 19:51 . 2013-03-01 17:12        2565120        ----a-w-        c:\windows\system32\d3d10warp.dll

2013-01-13 19:49 . 2013-03-01 17:12        363008        ----a-w-        c:\windows\system32\dxgi.dll

2013-01-13 19:48 . 2013-03-01 17:12        161792        ----a-w-        c:\windows\SysWow64\d3d10_1.dll

2013-01-13 19:46 . 2013-03-01 17:12        1080832        ----a-w-        c:\windows\SysWow64\d3d10.dll

2013-01-13 19:43 . 2013-03-01 17:11        1230336        ----a-w-        c:\windows\SysWow64\WindowsCodecs.dll

2013-01-13 19:38 . 2013-03-01 17:12        333312        ----a-w-        c:\windows\system32\d3d10_1core.dll

2013-01-13 19:38 . 2013-03-01 17:12        1887232        ----a-w-        c:\windows\system32\d3d11.dll

2013-01-13 19:38 . 2013-03-01 17:12        296960        ----a-w-        c:\windows\system32\d3d10core.dll

2013-01-13 19:37 . 2013-03-01 17:11        3419136        ----a-w-        c:\windows\SysWow64\d2d1.dll

2013-01-13 19:25 . 2013-03-01 17:11        245248        ----a-w-        c:\windows\system32\WindowsCodecsExt.dll

2013-01-13 19:24 . 2013-03-01 17:12        648192        ----a-w-        c:\windows\system32\d3d10level9.dll

2013-01-13 19:24 . 2013-03-01 17:12        221184        ----a-w-        c:\windows\system32\UIAnimation.dll

2013-01-13 19:20 . 2013-03-01 17:12        194560        ----a-w-        c:\windows\system32\d3d10_1.dll

2013-01-13 19:20 . 2013-03-01 17:12        1238528        ----a-w-        c:\windows\system32\d3d10.dll

2013-01-13 19:15 . 2013-03-01 17:11        1424384        ----a-w-        c:\windows\system32\WindowsCodecs.dll

2013-01-13 19:10 . 2013-03-01 17:11        3928064        ----a-w-        c:\windows\system32\d2d1.dll

2013-01-13 19:02 . 2013-03-01 17:12        417792        ----a-w-        c:\windows\SysWow64\WMPhoto.dll

2013-01-13 18:34 . 2013-03-01 17:12        364544        ----a-w-        c:\windows\SysWow64\XpsGdiConverter.dll

2013-01-13 18:32 . 2013-03-01 17:12        465920        ----a-w-        c:\windows\system32\WMPhoto.dll

2013-01-13 18:09 . 2013-03-01 17:12        522752        ----a-w-        c:\windows\system32\XpsGdiConverter.dll

2013-01-13 17:26 . 2013-03-01 17:11        1158144        ----a-w-        c:\windows\SysWow64\XpsPrint.dll

2013-01-13 17:05 . 2013-03-01 17:11        1682432        ----a-w-        c:\windows\system32\XpsPrint.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OfficeSyncProcess"="c:\program files (x86)\Microsoft Office\Office14\MSOSYNC.EXE" [2012-01-20 719672]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"File Sanitizer"="c:\program files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2011-02-07 12274688]

"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2011-01-26 283160]

"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-03-28 336384]

"DTRun"="c:\program files (x86)\ArcSoft\TotalMedia Suite\TotalMedia Theatre 3\uDTRun.exe" [2010-11-24 517456]

"HPConnectionManager"="c:\program files (x86)\Hewlett-Packard\HP Connection Manager\HPCMDelayStart.exe" [2011-04-05 94264]

"HPQuickWebProxy"="c:\program files (x86)\Hewlett-Packard\HP QuickWeb\hpqwutils.exe" [2011-02-11 76344]

"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]

"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-03-31 345312]

.

c:\users\Kerstin ***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-3-12 29106336]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2012-7-17 110592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="userinit.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]

2011-02-03 22:09        75360        ----a-w-        c:\windows\System32\DeviceNP.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages        REG_MULTI_SZ           DPPassFilter scecli

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2011-01-27 131128]

R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]

R2 hpHotkeyMonitor;hpHotkeyMonitor;c:\program files (x86)\Hewlett-Packard\HP Hotkey Support\HpHotkeyMonitor.exe [x]

R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-12-14 682344]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944]

R2 XobniService;XobniService;c:\program files (x86)\Xobni\XobniService.exe [2011-03-07 62184]

R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv64.sys [2011-02-07 63336]

R3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\SysWOW64\flcdlock.exe [2011-02-03 464480]

R3 hpCMSrv;HP Connection Manager 4 Service;c:\program files (x86)\Hewlett-Packard\HP Connection Manager\hpCMSrv.exe [2011-04-05 1094712]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-07-09 52736]

S0 MfeEpePc;MfeEpePc; [x]

S1 aswKbd;aswKbd; [x]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-03-31 28600]

S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\AESTSr64.exe [2012-02-26 89600]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-03-28 203264]

S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2013-03-31 86752]

S2 Atheros Bt&Wlan Coex Agent;Atheros Bt&Wlan Coex Agent;c:\program files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [2011-01-07 138400]

S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Bluetooth Suite\adminservice.exe [2011-01-07 53920]

S2 HPDayStarterService;HP DayStarter Service;c:\program files\Hewlett-Packard\HP DayStarter\32-bit\HPDayStarterService.exe [2011-01-28 133688]

S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-09-01 227896]

S2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files (x86)\Hewlett-Packard\File Sanitizer\HPFSService.exe [2011-02-07 320000]

S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2011-01-26 30520]

S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2011-01-26 13336]

S2 jhi_service;Intel(R) Identity Protection Technology Host Interface Service;c:\program files (x86)\Intel\Services\IPT\jhi_service.exe [2010-11-29 210896]

S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-12-14 398184]

S2 McAfee Endpoint Encryption Agent;McAfee Endpoint Encryption Agent;c:\program files\Hewlett-Packard\Drive Encryption\EEAgent\MfeEpeHost.exe [2011-03-29 1318912]

S2 PDF Architect Helper Service;PDF Architect Helper Service;c:\program files (x86)\PDF Architect\HelperService.exe [2012-11-22 1522312]

S2 PDF Architect Service;PDF Architect Service;c:\program files (x86)\PDF Architect\ConversionService.exe [2012-11-22 905864]

S2 PdiService;Portrait Displays SDK Service;c:\program files (x86)\Common Files\Portrait Displays\Drivers\pdisrvc.exe [2011-01-18 113264]

S2 uArcCapture;ArcCapture;c:\windows\SysWow64\ArcVCapRender\uArcCapture.exe [2010-11-11 502464]

S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2011-01-17 2656280]

S2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2011-01-22 3154224]

S3 ARCVCAM;ARCVCAM, ArcSoft Webcam Sharing Manager Driver;c:\windows\system32\DRIVERS\ArcSoftVCapture.sys [2010-11-11 32192]

S3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys [2011-01-07 36000]

S3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys [2011-01-07 298144]

S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys [2011-01-07 28832]

S3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys [2011-01-07 201376]

S3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys [2011-01-07 55456]

S3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys [2011-01-07 154272]

S3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys [2011-01-07 279200]

S3 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2011-01-12 36864]

S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-14 317440]

S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd64.sys [2011-01-27 12273408]

S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2011-01-31 174168]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-14 24176]

S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-12-10 80384]

S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-12-10 181248]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-11-30 406632]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2013-04-08 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-18 23:45]

.

2013-04-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-117167614-460752287-3711103890-1001Core.job

- c:\users\Kerstin ***\AppData\Local\Google\Update\GoogleUpdate.exe [2012-01-27 16:33]

.

2013-04-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-117167614-460752287-3711103890-1001UA.job

- c:\users\Kerstin ***\AppData\Local\Google\Update\GoogleUpdate.exe [2012-01-27 16:33]

.

2013-03-21 c:\windows\Tasks\HPCeeScheduleForKerstin ***.job

- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-09-14 05:15]

.

2013-04-04 c:\windows\Tasks\HPCeeScheduleForSHEHERAZADE$.job

- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-09-14 05:15]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        162552        ----a-w-        c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        162552        ----a-w-        c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        162552        ----a-w-        c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        162552        ----a-w-        c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\DelayedAppStarter.exe" [2011-01-27 13880]

"AtherosBtStack"="c:\program files (x86)\Bluetooth Suite\BtvStack.exe" [2011-01-07 615584]

"AthBtTray"="c:\program files (x86)\Bluetooth Suite\AthBtTray.exe" [2011-01-07 379040]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-01-27 167960]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-01-27 391704]

"Persistence"="c:\windows\system32\igfxpers.exe" [2011-01-27 418328]

"MfeEpePcMonitor"="c:\program files\Hewlett-Packard\Drive Encryption\EpePcMonitor.exe" [2011-03-29 200704]

"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2012-02-26 1128448]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService

FontCache

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: An OneNote s&enden - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105

IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.44.1 192.168.44.1

FF - ProfilePath - c:\users\Kerstin ***\AppData\Roaming\Mozilla\Firefox\Profiles\cer85ncq.default\

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - c:\users\Kerstin ***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

Wow6432Node-HKCU-Run-Eqrafe - c:\users\Kerstin ***\AppData\Roaming\Saynur\keuk.exe

Wow6432Node-HKCU-Run-defodns - c:\users\Kerstin ***\AppData\Roaming\defodns.exe

Wow6432Node-HKLM-Run-<NO NAME> - (no file)

HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe

AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE

AddRemove-{6F44AF95-3CDE-4513-AD3F-6D45F17BF324} - c:\program files (x86)\InstallShield Installation Information\{6F44AF95-3CDE-4513-AD3F-6D45F17BF324}\setup.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]

@Denied: (A) (Everyone)

"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]

@Denied: (A) (Everyone)

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]

"Key"="ActionsPane3"

"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe

c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DPAgent.exe

c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-04-08  22:05:01 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-04-08 20:05

.

Vor Suchlauf: 8 Verzeichnis(se), 429.203.329.024 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 429.430.018.048 Bytes frei

.

- - End Of File - - 6EB8ABFFE81B33999F5F8DC16EDD8EEC

Bin gespannt, wie es jetzt weitergeht, auf jeden Fall vielen vielen Dank!!!!!
Viele Grüße
Kerstin

OK:

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo t'john,

es war kein Clean-up nötig, es wurde nichts gefunden, was ich schon mal super finde. Hier das Logfile:

Code:

Malwarebytes Anti-Rootkit BETA 1.01.0.1022

www.malwarebytes.org
 

Database version: v2013.04.09.06
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Kerstin *** :: SHEHERAZADE [administrator]
 

09.04.2013 17:53:00

mbar-log-2013-04-09 (17-53-00).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 30993

Time elapsed: 18 minute(s), 29 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Heißt das jetzt, dass mein Rechner sauber ist? Was passiert denn mit den Trojanern, die in Quarantäne sind?

:dankeschoen:

Viele Grüße
Kerstin

Sehr gut! :daumenhoc

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo t'john,
hier die drei Logfiles, den ESET-Download musste ich einmal neu starten, weil die Internetverbindung hier immer mal wieder unterbrochen ist:

Code:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software

Run date: 2013-04-09 18:43:37

-----------------------------

18:43:37.505    OS Version: Windows x64 6.1.7601 Service Pack 1

18:43:37.505    Number of processors: 4 586 0x2A07

18:43:37.505    ComputerName: SHEHERAZADE  UserName: 

18:43:39.175    Initialize success

19:11:54.124    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

19:11:54.124    Disk 0 Vendor: Hitachi_ JEDO Size: 610480MB BusType: 3

19:11:54.249    Disk 0 MBR read successfully

19:11:54.264    Disk 0 MBR scan

19:11:54.264    Disk 0 Windows 7 default MBR code

19:11:54.280    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          300 MB offset 2048

19:11:54.295    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       586833 MB offset 616448

19:11:54.327    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        18223 MB offset 1202450432

19:11:54.342    Disk 0 Partition 4 00     0C    FAT32 LBA MSDOS5.0     5115 MB offset 1239771136

19:11:54.467    Disk 0 scanning C:\windows\system32\drivers

19:12:03.281    Service scanning

19:12:29.739    Modules scanning

19:12:29.739    Disk 0 trace - called modules:

19:12:29.770    ntoskrnl.exe CLASSPNP.SYS disk.sys hpdskflt.sys ACPI.sys iaStor.sys hal.dll 

19:12:29.770    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006a12060]

19:12:29.770    3 CLASSPNP.SYS[fffff88001b0443f] -> nt!IofCallDriver -> [0xfffffa8004c33ab0]

19:12:29.786    5 hpdskflt.sys[fffff880017ef361] -> nt!IofCallDriver -> [0xfffffa8004b0f800]

19:12:29.786    7 ACPI.sys[fffff88000e0b7a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004b35050]

19:12:29.801    Scan finished successfully

19:12:57.554    Disk 0 MBR has been saved successfully to "C:\Users\Kerstin ***\Desktop\MBR.dat"

19:12:57.569    The log file has been saved successfully to "C:\Users\Kerstin ***\Desktop\aswMBR.txt"

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=1e18d2e8cf94bd4aa68297b016332c8c

# engine=13585

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-04-10 05:14:00

# local_time=2013-04-10 07:14:00 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=771 16777214 16 1 2981565 2981565 0 0

# compatibility_mode=1799 16775165 100 96 44740 230994130 37528 0

# compatibility_mode=5893 16776574 100 94 3077470 117200690 0 0

# scanned=235273

# found=1

# cleaned=0

# scan_time=31667

sh=B34CADEF5631209BCA020AA4756B8A2E1388A25B ft=1 fh=3559330e61ffb665 vn="Win32/Spy.Zbot.AAO trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Kerstin ***\AppData\Roaming\Saynur\keuk.exe.vir"

Code:

 Results of screen317's Security Check version 0.99.61  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 9  
 ``````````````Antivirus/Firewall Check:`````````````` 

Avira Desktop   

 Antivirus up to date!   
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.70.0.1100  

 Adobe Flash Player 11.6.602.180  

 Mozilla Firefox 14.0.1 Firefox out of Date!  

 Google Chrome 25.0.1364.172  

 Google Chrome 26.0.1410.43  
 ````````Process Check: objlist.exe by Laurent````````  

 Avira Antivir avgnt.exe 

 Avira Antivir avguard.exe 

 Malwarebytes' Anti-Malware mbamscheduler.exe   
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Vielen Dank und viele Grüße
Kerstin

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Hallo t'john,

super :bussi:

adwCleaner hatte ich glaube ich nicht installiert, somit auch nicht gelöscht. ComboFix ist deinstalliert, der Rest auch erledigt. Hier noch das log vom DelFix:

Code:

# DelFix v10.2 - Datei am 10/04/2013 um 18:52:16 erstellt

# Aktualisiert am 02/04/2013 von Xplode

# Benutzer : Kerstin *** - SHEHERAZADE
 

~ Aktiviere die Benutzerkontensteuerung ... OK
 

~ Entferne die Bereinigungsprogramme ...
 

Gelöscht : C:\Users\Kerstin ***\Desktop\mbar

Gelöscht : C:\ComboFix.txt

Gelöscht : C:\Users\Kerstin ***\Desktop\aswMBR.exe

Gelöscht : C:\Users\Kerstin ***\Desktop\aswMBR.txt

Gelöscht : C:\Users\Kerstin ***\Desktop\esetsmartinstaller_enu.exe

Gelöscht : C:\Users\Kerstin ***\Desktop\MBR.dat

Gelöscht : C:\Users\Kerstin ***\Desktop\SecurityCheck.exe

Gelöscht : HKLM\SOFTWARE\Swearware

Gelöscht : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMBR

Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\aswMBR
 

~ Erstelle ein Backup der Registrierungsdatenbank ... OK
 

~ Lösche die Wiederherstellungspunkte ...
 

Gelöscht : RP #91 [ComboFix created restore point | 04/10/2013 16:49:59]
 

Ein neuer Wiederherstellungspunkt wurde erstellt !
 

~ Stelle die Systemeinstellungen wieder her ... OK
 

########## - EOF - ##########

Hast Du evtl. noch einen heißen Tipp für ein Forum, an das ich mich wegen meinem blauen Bildschirm wenden kann, der erscheint, wenn ich meinen IE öffne? Das ist, seit ich Avast installiert hatte. Ist auch nach Deinstallation geblieben.

Vielen, vielen Dank für Deine Hilfe, Deine verständlichen Anleitungen, Deine Freundlichkeit und Deine Geduld. Das war wirklich klasse.

Einen schönen Abend und viele Grüße
Kerstin