Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA-Trojaner eingefangen (Win7, 32-bit) und mit der Entfernung überfordert (https://www.trojaner-board.de/139020-bka-trojaner-eingefangen-win7-32-bit-entfernung-ueberfordert.html)

sperr.opfer 30.07.2013 02:53
BKA-Trojaner eingefangen (Win7, 32-bit) und mit der Entfernung überfordert
 
Wie so viele andere auch habe ich mir den BKA-Trojaner eingefangen. Nachdem ich mir von Google Hilfe erhoffte, bin ich mehr verwirrt als klüger: viele Beseitigungsvarianten, die ich nicht auf ihre Güte einschätzen kann, weil ich auch nicht gerade profimässig unterwegs bin.

Besitze Win7, 32-bit.
Ich kann normal starten und es so hinbekommen, dass ich zwar die Dateien des Desktops nicht angezeigt bekomme, aber mit der Startbutton zur Verfügung steht. Die "Ich-habe-deinen-Computer-gesperrt-und-gib-Geld-her-Meldung" wird so nicht angezeigt, aber die Tante schwafelt immer davon, dass ich 100 Euro bezahlen soll.

Ich hoffe, dass mir hier jemand so helfen kann, dass auch ich wieder Trojaner-Frei bin.

Vielen Dank schon mal
sperr.opfer

schrauber 30.07.2013 05:58
hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).


sperr.opfer 31.07.2013 10:37

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-07-2013 04
Ran by Manuela (administrator) on 31-07-2013 11:26:51
Running from G:\
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(AMD) C:\Windows\system32\atiesrxx.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
(Teruten) C:\Windows\system32\FsUsbExService.Exe
(Skype Technologies) C:\Program Files\Skype\Updater\Updater.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
(Geek Software GmbH) C:\Program Files\PDF24\pdf24.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Synaptics Incorporated) C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(SEIKO EPSON CORPORATION) C:\Windows\System32\spool\drivers\w32x86\3\E_FATIGAE.EXE
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
(Dropbox, Inc.) C:\Users\Manuela\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE
(Microsoft Corporation) C:\Windows\system32\taskmgr.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [NPSStartup] -  [x]
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [417792 2009-11-10] (Apple Inc.)
HKLM\...\Run: [PDFPrint] - C:\Program Files\PDF24\pdf24.exe [163000 2012-12-12] (Geek Software GmbH)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-07-02] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2408176 2013-03-10] (Synaptics Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [yCpCQSpcQDy4] - C:\Users\Manuela\AppData\Local\Q6dQAjy.exe [183808 2013-07-28] (NCSOFT Company)
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKLM\...\InprocServer32: [Default-cscui]  <==== ATTENTION!
HKCU\...\Run: [EPSON SX525WD Series] - C:\Windows\TEMP\E_S4153.tmp [134 2011-09-27] ()
HKCU\...\Run: [AutoStartNPSAgent] - C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe [102400 2009-04-02] (Samsung Electronics Co., Ltd.)
HKCU\...\Run: [yCpCQSpcQDy4] - C:\Users\Manuela\AppData\Local\Q6dQAjy.exe [183808 2013-07-28] (NCSOFT Company)
Startup: C:\Users\Manuela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Manuela\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Manuela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
SSODL: EldosMountNotificator - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll (EldoS Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ch.msn.com/default.aspx?ocid=iehp
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Virtual Storage Mount Notification - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll (EldoS Corporation)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} file:///F:/components/A9.ocx
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {9F9AE670-CC3B-48B6-BB33-2EB7BD316D58} hxxp://download.greentube.com/magic/games/sc12/webplayer/plugin/0.9.8/greenwebplayer.0.9.8.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-02] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-02] (Avira Operations GmbH & Co. KG)
R2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION)
R2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 cbfs3; C:\Windows\system32\drivers\cbfs3.sys [275088 2011-01-17] (EldoS Corporation)
S3 cxbu0wdm; C:\Windows\System32\DRIVERS\cxbu0wdm.sys [119040 2011-09-06] (HID Global Corporation)
R3 FsUsbExDisk; C:\Windows\system32\FsUsbExDisk.SYS [36608 2009-03-31] ()
R3 L1E; C:\Windows\System32\DRIVERS\L1E62x86.sys [47104 2009-07-14] (Atheros Communications, Inc.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-28] (Avira GmbH)
S3 ss_bbus; C:\Windows\System32\DRIVERS\ss_bbus.sys [98432 2009-09-19] (MCCI)
S3 ss_bmdfl; C:\Windows\System32\DRIVERS\ss_bmdfl.sys [14848 2009-09-19] (MCCI Corporation)
S3 ss_bmdm; C:\Windows\System32\DRIVERS\ss_bmdm.sys [123648 2009-09-19] (MCCI Corporation)
S3 USBTINSP; C:\Windows\System32\DRIVERS\tinspusb.sys [122752 2010-03-29] (Texas Instruments)
R3 winbondcir; C:\Windows\System32\DRIVERS\winbondcir.sys [43008 2007-03-28] (Winbond Electronics Corporation)
R3 WinDriver6; C:\Windows\System32\drivers\windrvr6.sys [193696 2008-07-03] (Jungo)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-30 03:22 - 2013-07-30 03:22 - 00000000 ____D C:\FRST
2013-07-30 03:20 - 2013-07-30 03:21 - 01221282 _____ (Farbar) C:\Users\Manuela\Desktop\FRST.exe
2013-07-29 19:21 - 2013-07-29 19:29 - 299798528 _____ C:\Users\Manuela\Desktop\kav_rescue_10.iso
2013-07-29 19:17 - 2010-08-19 19:22 - 00409600 _____ (Kaspersky Lab ZAO) C:\Users\Manuela\Desktop\rescue2usb.exe
2013-07-29 19:17 - 2010-08-16 17:02 - 00019181 ____R C:\Users\Manuela\Desktop\license_notice.txt
2013-07-29 19:17 - 2010-06-22 13:39 - 00000237 _____ C:\Users\Manuela\Desktop\syslinux.cfg
2013-07-29 19:17 - 2010-04-01 11:01 - 00028160 _____ C:\Users\Manuela\Desktop\syslinux.exe
2013-07-29 19:17 - 2009-10-16 16:43 - 00237849 _____ C:\Users\Manuela\Desktop\grub.exe
2013-07-28 23:22 - 2013-07-28 23:22 - 00186347 _____ C:\Users\Manuela\AppData\Local\9f2c10a0-f56c-464d-b90f-23109eb5be53
2013-07-28 23:22 - 2013-07-28 23:22 - 00183808 _____ (NCSOFT Company) C:\Users\Manuela\AppData\Local\Q6dQAjy.exe
2013-07-28 00:04 - 2013-07-28 00:04 - 04196406 _____ C:\Users\Manuela\Desktop\Neues Bild (1).bmp
2013-07-28 00:04 - 2013-07-28 00:04 - 00000000 _____ C:\Users\Manuela\Desktop\Neue Bitmap.bmp
2013-07-28 00:01 - 2013-07-28 00:01 - 04196406 _____ C:\Users\Manuela\Desktop\Neues Bild.bmp
2013-07-20 09:07 - 2013-07-20 09:10 - 00000000 ____D C:\Windows\system32\MRT
2013-07-11 17:03 - 2013-04-10 01:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2013-07-11 17:02 - 2013-06-05 05:05 - 02347520 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-11 17:02 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-11 17:02 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-01 18:31 - 2013-07-01 18:31 - 00016265 _____ C:\Users\Manuela\Desktop\AW Infobrief Hochzeit.zip

==================== One Month Modified Files and Folders =======

2013-07-31 11:27 - 2012-12-17 14:51 - 00000000 ____D C:\Users\Manuela\AppData\Roaming\Dropbox
2013-07-31 11:26 - 2012-12-17 15:19 - 00000000 ___RD C:\Users\Manuela\Dropbox
2013-07-31 11:25 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-31 11:25 - 2009-07-14 06:39 - 00155494 _____ C:\Windows\setupact.log
2013-07-31 11:21 - 2010-02-20 16:33 - 02077706 _____ C:\Windows\WindowsUpdate.log
2013-07-31 11:21 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-31 11:21 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-30 10:48 - 2013-04-30 13:44 - 00258705 _____ C:\Windows\IE10_main.log
2013-07-30 10:48 - 2011-08-29 17:49 - 01160440 _____ C:\Windows\IE9_main.log
2013-07-30 03:22 - 2013-07-30 03:22 - 00000000 ____D C:\FRST
2013-07-30 03:21 - 2013-07-30 03:20 - 01221282 _____ (Farbar) C:\Users\Manuela\Desktop\FRST.exe
2013-07-29 22:47 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-07-29 19:34 - 2010-02-19 16:50 - 01536322 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-29 19:29 - 2013-07-29 19:21 - 299798528 _____ C:\Users\Manuela\Desktop\kav_rescue_10.iso
2013-07-28 23:28 - 2010-02-28 15:24 - 00140498 _____ C:\Windows\PFRO.log
2013-07-28 23:22 - 2013-07-28 23:22 - 00186347 _____ C:\Users\Manuela\AppData\Local\9f2c10a0-f56c-464d-b90f-23109eb5be53
2013-07-28 23:22 - 2013-07-28 23:22 - 00183808 _____ (NCSOFT Company) C:\Users\Manuela\AppData\Local\Q6dQAjy.exe
2013-07-28 23:18 - 2010-03-05 14:34 - 00000000 ____D C:\Users\Manuela\AppData\Roaming\Skype
2013-07-28 00:44 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\NDF
2013-07-28 00:04 - 2013-07-28 00:04 - 04196406 _____ C:\Users\Manuela\Desktop\Neues Bild (1).bmp
2013-07-28 00:04 - 2013-07-28 00:04 - 00000000 _____ C:\Users\Manuela\Desktop\Neue Bitmap.bmp
2013-07-28 00:01 - 2013-07-28 00:01 - 04196406 _____ C:\Users\Manuela\Desktop\Neues Bild.bmp
2013-07-23 21:16 - 2013-06-09 07:41 - 00000000 ____D C:\Users\Manuela\Desktop\Ka&Ma
2013-07-21 17:18 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-20 09:10 - 2013-07-20 09:07 - 00000000 ____D C:\Windows\system32\MRT
2013-07-14 22:16 - 2009-07-14 06:33 - 00452896 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-14 00:09 - 2009-07-14 10:56 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-12 23:18 - 2009-07-14 06:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-02 00:30 - 2013-05-06 10:55 - 00067168 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys
2013-07-01 18:31 - 2013-07-01 18:31 - 00016265 _____ C:\Users\Manuela\Desktop\AW Infobrief Hochzeit.zip

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-29 22:39

==================== End Of Log ============================
--- --- ---

[/CODE]

schrauber 31.07.2013 11:47
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
HKLM\...\Run: [yCpCQSpcQDy4] - C:\Users\Manuela\AppData\Local\Q6dQAjy.exe [183808 2013-07-28] (NCSOFT Company)
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKLM\...\InprocServer32: [Default-cscui]  <==== ATTENTION!
HKCU\...\Run: [yCpCQSpcQDy4] - C:\Users\Manuela\AppData\Local\Q6dQAjy.exe [183808 2013-07-28] (NCSOFT Company)
2013-07-28 23:22 - 2013-07-28 23:22 - 00186347 _____ C:\Users\Manuela\AppData\Local\9f2c10a0-f56c-464d-b90f-23109eb5be53
2013-07-28 23:22 - 2013-07-28 23:22 - 00183808 _____ (NCSOFT Company) C:\Users\Manuela\AppData\Local\Q6dQAjy.exe

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


sperr.opfer 31.07.2013 11:51
Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 30-07-2013 04
Ran by Manuela at 2013-07-31 12:49:55 Run:1
Running from G:\
Boot Mode: Normal

==============================================

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\yCpCQSpcQDy4 => Value deleted successfully.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp => Key deleted successfully.
HKLM\Software\Classes\CLSID\{750fdf10-2a26-11d1-a3ea-080036587f03}\InprocServer32\\Default => Value was restored successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\yCpCQSpcQDy4 => Value deleted successfully.
C:\Users\Manuela\AppData\Local\9f2c10a0-f56c-464d-b90f-23109eb5be53 => Moved successfully.
C:\Users\Manuela\AppData\Local\Q6dQAjy.exe => Moved successfully.

==== End of Fixlog ====

schrauber 31.07.2013 15:16
Kannste jetzt normal booten ohne den GVU Stress? :)

sperr.opfer 31.07.2013 16:34
Klappt wieder wie in alten Zeiten :-). Vielen Dank für Deine Hilfe.

schrauber 31.07.2013 19:45
Kontrollscans :)

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


sperr.opfer 01.08.2013 16:13
Jahso, war wohl etwas voreilig :-)!

AdwCleaner Logfile:
Code:
# AdwCleaner v2.306 - Datei am 01/08/2013 um 16:57:58 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : Manuela - MANU
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Manuela\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\1ClickDownload
Schlüssel Gelöscht : HKCU\Software\ilivid
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASMANCS

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[S1].txt - [1077 octets] - [01/08/2013 16:57:58]

########## EOF - C:\AdwCleaner[S1].txt - [1137 octets] ##########
--- --- ---

[/CODE]



FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-07-2013 04
Ran by Manuela (administrator) on 01-08-2013 17:01:47
Running from C:\Users\Manuela\Desktop
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(AMD) C:\Windows\system32\atiesrxx.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
(Teruten) C:\Windows\system32\FsUsbExService.Exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
(Geek Software GmbH) C:\Program Files\PDF24\pdf24.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(SEIKO EPSON CORPORATION) C:\Windows\System32\spool\drivers\w32x86\3\E_FATIGAE.EXE
(Synaptics Incorporated) C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
(Dropbox, Inc.) C:\Users\Manuela\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [NPSStartup] -  [x]
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [417792 2009-11-10] (Apple Inc.)
HKLM\...\Run: [PDFPrint] - C:\Program Files\PDF24\pdf24.exe [163000 2012-12-12] (Geek Software GmbH)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-07-02] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2408176 2013-03-10] (Synaptics Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKCU\...\Run: [EPSON SX525WD Series] - C:\Windows\TEMP\E_S4153.tmp [134 2011-09-27] ()
HKCU\...\Run: [AutoStartNPSAgent] - C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe [102400 2009-04-02] (Samsung Electronics Co., Ltd.)
Startup: C:\Users\Manuela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Manuela\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Manuela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
SSODL: EldosMountNotificator - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll (EldoS Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ch.msn.com/default.aspx?ocid=iehp
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Virtual Storage Mount Notification - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll (EldoS Corporation)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} file:///F:/components/A9.ocx
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {9F9AE670-CC3B-48B6-BB33-2EB7BD316D58} hxxp://download.greentube.com/magic/games/sc12/webplayer/plugin/0.9.8/greenwebplayer.0.9.8.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-02] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-02] (Avira Operations GmbH & Co. KG)
R2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION)
R2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 cbfs3; C:\Windows\system32\drivers\cbfs3.sys [275088 2011-01-17] (EldoS Corporation)
S3 cxbu0wdm; C:\Windows\System32\DRIVERS\cxbu0wdm.sys [119040 2011-09-06] (HID Global Corporation)
R3 FsUsbExDisk; C:\Windows\system32\FsUsbExDisk.SYS [36608 2009-03-31] ()
R3 L1E; C:\Windows\System32\DRIVERS\L1E62x86.sys [47104 2009-07-14] (Atheros Communications, Inc.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-28] (Avira GmbH)
S3 ss_bbus; C:\Windows\System32\DRIVERS\ss_bbus.sys [98432 2009-09-19] (MCCI)
S3 ss_bmdfl; C:\Windows\System32\DRIVERS\ss_bmdfl.sys [14848 2009-09-19] (MCCI Corporation)
S3 ss_bmdm; C:\Windows\System32\DRIVERS\ss_bmdm.sys [123648 2009-09-19] (MCCI Corporation)
S3 USBTINSP; C:\Windows\System32\DRIVERS\tinspusb.sys [122752 2010-03-29] (Texas Instruments)
R3 winbondcir; C:\Windows\System32\DRIVERS\winbondcir.sys [43008 2007-03-28] (Winbond Electronics Corporation)
R3 WinDriver6; C:\Windows\System32\drivers\windrvr6.sys [193696 2008-07-03] (Jungo)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-01 16:57 - 2013-08-01 16:58 - 00001206 _____ C:\AdwCleaner[S1].txt
2013-08-01 16:57 - 2013-08-01 16:57 - 01222064 _____ (Farbar) C:\Users\Manuela\Desktop\FRST.exe
2013-08-01 16:56 - 2013-08-01 16:56 - 00666633 _____ C:\Users\Manuela\Desktop\adwcleaner.exe
2013-07-30 03:22 - 2013-07-30 03:22 - 00000000 ____D C:\FRST
2013-07-20 09:07 - 2013-07-20 09:10 - 00000000 ____D C:\Windows\system32\MRT
2013-07-11 17:03 - 2013-04-10 01:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2013-07-11 17:02 - 2013-06-05 05:05 - 02347520 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-11 17:02 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-11 17:02 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL

==================== One Month Modified Files and Folders =======

2013-08-01 17:01 - 2012-12-17 14:51 - 00000000 ____D C:\Users\Manuela\AppData\Roaming\Dropbox
2013-08-01 17:00 - 2012-12-17 15:19 - 00000000 ___RD C:\Users\Manuela\Dropbox
2013-08-01 16:59 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-01 16:59 - 2009-07-14 06:39 - 00155774 _____ C:\Windows\setupact.log
2013-08-01 16:58 - 2013-08-01 16:57 - 00001206 _____ C:\AdwCleaner[S1].txt
2013-08-01 16:58 - 2010-02-20 16:33 - 01422536 _____ C:\Windows\WindowsUpdate.log
2013-08-01 16:58 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-01 16:58 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-01 16:57 - 2013-08-01 16:57 - 01222064 _____ (Farbar) C:\Users\Manuela\Desktop\FRST.exe
2013-08-01 16:56 - 2013-08-01 16:56 - 00666633 _____ C:\Users\Manuela\Desktop\adwcleaner.exe
2013-08-01 16:49 - 2011-08-29 17:49 - 01163125 _____ C:\Windows\IE9_main.log
2013-08-01 16:48 - 2013-04-30 13:44 - 00272089 _____ C:\Windows\IE10_main.log
2013-07-31 23:26 - 2010-03-05 14:34 - 00000000 ____D C:\Users\Manuela\AppData\Roaming\Skype
2013-07-30 03:22 - 2013-07-30 03:22 - 00000000 ____D C:\FRST
2013-07-29 22:47 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-07-29 19:34 - 2010-02-19 16:50 - 01536322 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-28 23:28 - 2010-02-28 15:24 - 00140498 _____ C:\Windows\PFRO.log
2013-07-28 00:44 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\NDF
2013-07-23 21:16 - 2013-06-09 07:41 - 00000000 ____D C:\Users\Manuela\Desktop\Ka&Ma
2013-07-21 17:18 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-20 09:10 - 2013-07-20 09:07 - 00000000 ____D C:\Windows\system32\MRT
2013-07-14 22:16 - 2009-07-14 06:33 - 00452896 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-14 00:09 - 2009-07-14 10:56 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-12 23:18 - 2009-07-14 06:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-02 00:30 - 2013-05-06 10:55 - 00067168 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-29 22:39

==================== End Of Log ============================
--- --- ---



FRST.txt hab ich auf dem Desktop (siehe Log oben). Addition.txt hab ich nicht auf dem Desktop. Allerdings vom ersten FRST-Scan ein Addition.txt.

schrauber 02.08.2013 09:07

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme?

sperr.opfer 06.08.2013 02:40
Vom ESET Online Scanner findet sich kein Log.txt =(.

Security Check:
Code:
Results of screen317's Security Check version 0.99.71 
 Windows 7 Service Pack 1 x86 (UAC is disabled!) 
 Internet Explorer 10 
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop 
 Antivirus up to date!  (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
 Java(TM) 6 Update 23 
 Java 7 Update 15 
 Java(TM) SE Development Kit 7
 Java SE Development Kit 7 Update 15
 Java version out of Date!
 Adobe Reader XI 
````````Process Check: objlist.exe by Laurent```````` 
 Avira Antivir avgnt.exe
 Avira Antivir avguard.exe
 ESET ESET Online Scanner OnlineScannerApp.exe 
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````
FRST:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-07-2013 04 (ATTENTION: ====> FRST version is 7 days old and could be outdated)
Ran by Manuela (administrator) on 06-08-2013 03:36:07
Running from C:\Users\Manuela\Desktop
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(AMD) C:\Windows\system32\atiesrxx.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
(Teruten) C:\Windows\system32\FsUsbExService.Exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
(Geek Software GmbH) C:\Program Files\PDF24\pdf24.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(SEIKO EPSON CORPORATION) C:\Windows\System32\spool\drivers\w32x86\3\E_FATIGAE.EXE
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
(Synaptics Incorporated) C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE
(Dropbox, Inc.) C:\Users\Manuela\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jucheck.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) c:\program files\windows defender\MpCmdRun.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [NPSStartup] -  [x]
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [417792 2009-11-10] (Apple Inc.)
HKLM\...\Run: [PDFPrint] - C:\Program Files\PDF24\pdf24.exe [163000 2012-12-12] (Geek Software GmbH)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-07-02] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2408176 2013-03-10] (Synaptics Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKCU\...\Run: [EPSON SX525WD Series] - C:\Windows\TEMP\E_S4153.tmp [134 2011-09-27] ()
HKCU\...\Run: [AutoStartNPSAgent] - C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe [102400 2009-04-02] (Samsung Electronics Co., Ltd.)
Startup: C:\Users\Manuela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Manuela\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Manuela\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
SSODL: EldosMountNotificator - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll (EldoS Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ch.msn.com/default.aspx?ocid=iehp
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Virtual Storage Mount Notification - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - C:\Windows\system32\CbFsMntNtf3.dll (EldoS Corporation)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} file:///F:/components/A9.ocx
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {9F9AE670-CC3B-48B6-BB33-2EB7BD316D58} hxxp://download.greentube.com/magic/games/sc12/webplayer/plugin/0.9.8/greenwebplayer.0.9.8.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-02] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-02] (Avira Operations GmbH & Co. KG)
R2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION)
R2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-29] (Avira Operations GmbH & Co. KG)
R1 cbfs3; C:\Windows\system32\drivers\cbfs3.sys [275088 2011-01-17] (EldoS Corporation)
S3 cxbu0wdm; C:\Windows\System32\DRIVERS\cxbu0wdm.sys [119040 2011-09-06] (HID Global Corporation)
R3 FsUsbExDisk; C:\Windows\system32\FsUsbExDisk.SYS [36608 2009-03-31] ()
R3 L1E; C:\Windows\System32\DRIVERS\L1E62x86.sys [47104 2009-07-14] (Atheros Communications, Inc.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-28] (Avira GmbH)
S3 ss_bbus; C:\Windows\System32\DRIVERS\ss_bbus.sys [98432 2009-09-19] (MCCI)
S3 ss_bmdfl; C:\Windows\System32\DRIVERS\ss_bmdfl.sys [14848 2009-09-19] (MCCI Corporation)
S3 ss_bmdm; C:\Windows\System32\DRIVERS\ss_bmdm.sys [123648 2009-09-19] (MCCI Corporation)
S3 USBTINSP; C:\Windows\System32\DRIVERS\tinspusb.sys [122752 2010-03-29] (Texas Instruments)
R3 winbondcir; C:\Windows\System32\DRIVERS\winbondcir.sys [43008 2007-03-28] (Winbond Electronics Corporation)
R3 WinDriver6; C:\Windows\System32\drivers\windrvr6.sys [193696 2008-07-03] (Jungo)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-06 03:35 - 2013-08-06 03:35 - 00000928 _____ C:\Users\Manuela\Desktop\checkup.txt
2013-08-06 03:25 - 2013-08-06 03:25 - 00000277 _____ C:\Users\Manuela\Desktop\eset.txt
2013-08-06 03:23 - 2013-08-06 03:25 - 00891098 _____ C:\Users\Manuela\Desktop\SecurityCheck.exe
2013-08-03 02:23 - 2013-08-03 02:23 - 00000000 ____D C:\Program Files\ESET
2013-08-03 02:21 - 2013-08-03 02:21 - 02347384 _____ (ESET) C:\Users\Manuela\Desktop\esetsmartinstaller_enu.exe
2013-08-03 02:16 - 2013-08-03 02:16 - 00243572 _____ C:\Users\Manuela\Desktop\20130803021554.zip
2013-08-01 16:57 - 2013-08-01 16:58 - 00001206 _____ C:\AdwCleaner[S1].txt
2013-08-01 16:57 - 2013-08-01 16:57 - 01222064 _____ (Farbar) C:\Users\Manuela\Desktop\FRST.exe
2013-08-01 16:56 - 2013-08-01 16:56 - 00666633 _____ C:\Users\Manuela\Desktop\adwcleaner.exe
2013-07-30 03:22 - 2013-07-30 03:22 - 00000000 ____D C:\FRST
2013-07-20 09:07 - 2013-07-20 09:10 - 00000000 ____D C:\Windows\system32\MRT
2013-07-11 17:03 - 2013-04-10 01:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2013-07-11 17:02 - 2013-06-05 05:05 - 02347520 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-11 17:02 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-11 17:02 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL

==================== One Month Modified Files and Folders =======

2013-08-06 03:35 - 2013-08-06 03:35 - 00000928 _____ C:\Users\Manuela\Desktop\checkup.txt
2013-08-06 03:35 - 2010-03-05 14:34 - 00000000 ____D C:\Users\Manuela\AppData\Roaming\Skype
2013-08-06 03:25 - 2013-08-06 03:25 - 00000277 _____ C:\Users\Manuela\Desktop\eset.txt
2013-08-06 03:25 - 2013-08-06 03:23 - 00891098 _____ C:\Users\Manuela\Desktop\SecurityCheck.exe
2013-08-06 03:03 - 2010-02-20 16:33 - 01815780 _____ C:\Windows\WindowsUpdate.log
2013-08-06 03:02 - 2013-04-30 13:44 - 00321347 _____ C:\Windows\IE10_main.log
2013-08-06 03:02 - 2011-08-29 17:49 - 01172545 _____ C:\Windows\IE9_main.log
2013-08-05 19:27 - 2013-06-09 07:41 - 00000000 ____D C:\Users\Manuela\Desktop\Ka&Ma
2013-08-05 17:28 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-05 17:28 - 2009-07-14 06:34 - 00015152 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-05 17:22 - 2012-12-17 15:19 - 00000000 ___RD C:\Users\Manuela\Dropbox
2013-08-05 17:22 - 2012-12-17 14:51 - 00000000 ____D C:\Users\Manuela\AppData\Roaming\Dropbox
2013-08-05 17:20 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-05 17:20 - 2009-07-14 06:39 - 00156110 _____ C:\Windows\setupact.log
2013-08-03 02:23 - 2013-08-03 02:23 - 00000000 ____D C:\Program Files\ESET
2013-08-03 02:21 - 2013-08-03 02:21 - 02347384 _____ (ESET) C:\Users\Manuela\Desktop\esetsmartinstaller_enu.exe
2013-08-03 02:16 - 2013-08-03 02:16 - 00243572 _____ C:\Users\Manuela\Desktop\20130803021554.zip
2013-08-01 16:58 - 2013-08-01 16:57 - 00001206 _____ C:\AdwCleaner[S1].txt
2013-08-01 16:57 - 2013-08-01 16:57 - 01222064 _____ (Farbar) C:\Users\Manuela\Desktop\FRST.exe
2013-08-01 16:56 - 2013-08-01 16:56 - 00666633 _____ C:\Users\Manuela\Desktop\adwcleaner.exe
2013-07-30 03:22 - 2013-07-30 03:22 - 00000000 ____D C:\FRST
2013-07-29 22:47 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-07-29 19:34 - 2010-02-19 16:50 - 01536322 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-28 23:28 - 2010-02-28 15:24 - 00140498 _____ C:\Windows\PFRO.log
2013-07-28 00:44 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\NDF
2013-07-21 17:18 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-20 09:10 - 2013-07-20 09:07 - 00000000 ____D C:\Windows\system32\MRT
2013-07-14 22:16 - 2009-07-14 06:33 - 00452896 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-14 00:09 - 2009-07-14 10:56 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-12 23:18 - 2009-07-14 06:52 - 00000000 ____D C:\Program Files\Windows Defender

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-29 22:39

==================== End Of Log ============================
--- --- ---

schrauber 06.08.2013 16:25
Zitat:
C:\Programme\Eset\EsetOnlineScanner\log.txt
da auch nicht?

sperr.opfer 06.08.2013 17:23
Nein, im Ordner "EsetOnlineScanner" sind nur die leeren Ordner "Modules" und "Quarantine". Habe aber ein Textfile in welchem Pfade angegeben sind, in denen Threats gefunden wurden. Nützt das was?

schrauber 06.08.2013 19:55
genau das :)

sperr.opfer 06.08.2013 20:10
Na dann. Hier ist es.

Code:
C:\FRST\Quarantine\Q6dQAjy.exe        a variant of Win32/Kryptik.BGVQ trojan
C:\Users\Manuela\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\44504819-399358de        multiple threats
C:\Users\Manuela\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\1e9c8e3c-30626cc6        multiple threats


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:51 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131