Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Versteckter Treiber gefunden (https://www.trojaner-board.de/144578-versteckter-treiber-gefunden.html)

JoDark 14.11.2013 18:53
Versteckter Treiber gefunden
 
Hallo zusammen,

wie der Titel schon sagt, ist Avira bei mir fündig geworden (siehe Log Datei). Ich habe seit einigen Wochen Probleme mit der Internetverbindung. Angefangen hat alles mit einem Brief von Vodafone, dass mein Router wohl nicht sicher sei, jetzt ist er es jedenfalls wieder. Den Brief haben wohl einige Kunden bekommen wie ich hörte.

Ziemlich gleichzeitig wurde mir ein Routervirus angezeigt, seit ich den beseitigt hatte läuft's nicht mehr so rund (Verbindungen brechen alle paar Minuten ab usw.). Jedenfalls hab ich jetzt wieder was neues gefunden, ein versteckter Treiber und ich möchte den unbedingt loswerden. Habt ihr mir einen Tipp wie ich dass schaffe?

PS: den im Log angezeigt Java-Virus JAVA/Dldr.Adxpop.A hab ich bereits löschen können, ich hoffe er taucht bei nächsten Viren-check nicht mehr auf.

Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 13. November 2013 16:59


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MELANIE-PC

Versionsinformationen:
BUILD.DAT : 14.0.0.383 55392 Bytes 30.09.2013 11:01:00
AVSCAN.EXE : 14.0.0.383 968776 Bytes 01.10.2013 09:18:29
AVSCANRC.DLL : 14.0.0.225 62024 Bytes 01.10.2013 09:18:30
LUKE.DLL : 14.0.0.383 65096 Bytes 01.10.2013 09:19:19
AVSCPLR.DLL : 14.0.0.383 92232 Bytes 01.10.2013 09:18:30
AVREG.DLL : 14.0.0.383 250440 Bytes 01.10.2013 09:18:27
avlode.dll : 14.0.0.383 512584 Bytes 01.10.2013 09:18:25
avlode.rdf : 13.0.1.48 27867 Bytes 13.11.2013 15:34:26
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 16:54:16
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 11:27:33
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 14:55:56
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 14:56:21
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 15:52:32
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 12:41:41
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 17:51:21
VBASE007.VDF : 7.11.111.18 3598336 Bytes 06.11.2013 17:38:03
VBASE008.VDF : 7.11.111.19 2048 Bytes 06.11.2013 17:38:03
VBASE009.VDF : 7.11.111.20 2048 Bytes 06.11.2013 17:38:03
VBASE010.VDF : 7.11.111.21 2048 Bytes 06.11.2013 17:38:03
VBASE011.VDF : 7.11.111.22 2048 Bytes 06.11.2013 17:38:03
VBASE012.VDF : 7.11.111.23 2048 Bytes 06.11.2013 17:38:03
VBASE013.VDF : 7.11.111.150 168448 Bytes 07.11.2013 17:38:04
VBASE014.VDF : 7.11.112.47 247808 Bytes 08.11.2013 10:31:42
VBASE015.VDF : 7.11.112.139 323584 Bytes 11.11.2013 15:34:21
VBASE016.VDF : 7.11.113.39 221696 Bytes 13.11.2013 15:34:21
VBASE017.VDF : 7.11.113.40 2048 Bytes 13.11.2013 15:34:22
VBASE018.VDF : 7.11.113.41 2048 Bytes 13.11.2013 15:34:22
VBASE019.VDF : 7.11.113.42 2048 Bytes 13.11.2013 15:34:22
VBASE020.VDF : 7.11.113.43 2048 Bytes 13.11.2013 15:34:22
VBASE021.VDF : 7.11.113.44 2048 Bytes 13.11.2013 15:34:22
VBASE022.VDF : 7.11.113.45 2048 Bytes 13.11.2013 15:34:22
VBASE023.VDF : 7.11.113.46 2048 Bytes 13.11.2013 15:34:22
VBASE024.VDF : 7.11.113.47 2048 Bytes 13.11.2013 15:34:22
VBASE025.VDF : 7.11.113.48 2048 Bytes 13.11.2013 15:34:22
VBASE026.VDF : 7.11.113.49 2048 Bytes 13.11.2013 15:34:22
VBASE027.VDF : 7.11.113.50 2048 Bytes 13.11.2013 15:34:22
VBASE028.VDF : 7.11.113.51 2048 Bytes 13.11.2013 15:34:22
VBASE029.VDF : 7.11.113.52 2048 Bytes 13.11.2013 15:34:22
VBASE030.VDF : 7.11.113.53 2048 Bytes 13.11.2013 15:34:22
VBASE031.VDF : 7.11.113.54 73216 Bytes 13.11.2013 15:34:23
Engineversion : 8.2.12.142
AEVDF.DLL : 8.1.3.4 102774 Bytes 16.06.2013 10:18:15
AESCRIPT.DLL : 8.1.4.166 516478 Bytes 13.11.2013 15:34:26
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 16:24:05
AESBX.DLL : 8.2.16.26 1245560 Bytes 23.08.2013 15:30:19
AERDL.DLL : 8.2.0.128 688504 Bytes 16.06.2013 10:18:13
AEPACK.DLL : 8.3.3.4 758136 Bytes 16.10.2013 14:41:20
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 15.08.2013 16:04:47
AEHEUR.DLL : 8.1.4.744 6283642 Bytes 07.11.2013 17:38:19
AEHELP.DLL : 8.1.27.8 266617 Bytes 07.11.2013 17:38:08
AEGEN.DLL : 8.1.7.20 446839 Bytes 13.11.2013 15:34:25
AEEXP.DLL : 8.4.1.100 369016 Bytes 03.11.2013 21:13:16
AEEMU.DLL : 8.1.3.2 393587 Bytes 15.08.2012 17:28:02
AECORE.DLL : 8.1.32.2 201081 Bytes 07.11.2013 17:38:06
AEBB.DLL : 8.1.1.4 53619 Bytes 10.11.2012 18:39:21
AVWINLL.DLL : 14.0.0.225 23624 Bytes 01.10.2013 09:17:13
AVPREF.DLL : 14.0.0.225 48712 Bytes 01.10.2013 09:18:27
AVREP.DLL : 14.0.0.225 175688 Bytes 01.10.2013 09:18:28
AVARKT.DLL : 14.0.0.225 257096 Bytes 01.10.2013 09:18:15
AVEVTLOG.DLL : 14.0.0.383 165960 Bytes 01.10.2013 09:18:20
SQLITE3.DLL : 3.7.0.1 394824 Bytes 15.08.2013 16:09:59
AVSMTP.DLL : 14.0.0.225 60488 Bytes 01.10.2013 09:18:32
NETNT.DLL : 14.0.0.225 13384 Bytes 01.10.2013 09:19:19
RCIMAGE.DLL : 14.0.0.225 4786760 Bytes 01.10.2013 09:17:13
RCTEXT.DLL : 14.0.0.225 67144 Bytes 01.10.2013 09:17:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 13. November 2013 16:59

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D:)'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBNotifier.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'apnmcp.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2266' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Users\Melanie\AppData\LocalLow\Sun\Java\Deployment\cache\javapi\v1.0\file\v51.class-426bcc89-4e9bf85f.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Adxpop.A
Beginne mit der Suche in 'D:\' <DATEN>

Beginne mit der Desinfektion:
C:\Users\Melanie\AppData\LocalLow\Sun\Java\Deployment\cache\javapi\v1.0\file\v51.class-426bcc89-4e9bf85f.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Adxpop.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54b267a9.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 13. November 2013 19:24
Benötigte Zeit: 1:48:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

25585 Verzeichnisse wurden überprüft
577533 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
577532 Dateien ohne Befall
7616 Archive wurden durchsucht
0 Warnungen
2 Hinweise
625282 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

aharonov 15.11.2013 02:50
Hallo,

der versteckte Treiber muss nicht zwingend bösartig sein. Könnte auch zu einem Emulator oder so gehören.
Schauen wir mal:


Schritt 1

Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.



Schritt 2

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


JoDark 15.11.2013 20:05
Ich zwar nicht grad ein PC-checker, aber ich habs hingekriegt, war gar nicht so schwer :-)

Hier die FRST.Datei:


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-11-2013
Ran by Melanie (administrator) on MELANIE-PC on 15-11-2013 20:00:07
Running from C:\Users\Melanie\Downloads
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(APN LLC.) C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(APN) C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Windows Defender] - C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-19] (Microsoft Corporation)
HKLM\...\Run: [NeroFilterCheck] - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [153136 2007-03-09] (Nero AG)
HKLM\...\Run: [TkBellExe] - C:\Program Files\Common Files\Real\Update_OB\realsched.exe [185896 2007-12-31] (RealNetworks, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [681032 2013-10-01] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [ApnTBMon] - C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1673680 2013-10-23] (APN)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM\...\Runonce: [Del1135187] - cmd.exe /Q /D /c del "C:\Users\Melanie\AppData\Local\Temp\0.del"
HKLM\...\Runonce: [Del7768968] - cmd.exe /Q /D /c del "C:\Users\Melanie\AppData\Local\Temp\0.del"
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehtray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Policies\system: [LogonHoursAction] 2
HKCU\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
MountPoints2: G - G:\pushinst.exe
MountPoints2: {0ecc3766-b962-11dc-a6d5-00040ece97f0} - F:\Setup.exe
MountPoints2: {3b6b3c4d-c9d9-11db-989b-00138fe8ad2b} - H:\pushinst.exe
MountPoints2: {b9d14a44-d111-11de-9e82-00138fe8ad2b} - G:\pushinst.exe
MountPoints2: {f8ce50d5-0f2f-11de-9a9a-00138fe8ad2b} - G:\wd_windows_tools\WDSetup.exe
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://aartemis.com/?type=sc&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.aartemis.com/web/?type=ds&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.aartemis.com/web/?type=ds&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689&q={searchTerms}
BHO: Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Toolbar: HKCU - No Name - {855F3B16-6D32-4FE6-8A56-BBB695989046} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog9 01 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 03 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 04 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 05 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 06 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 07 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 08 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 20 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\Melanie\AppData\Roaming\Mozilla\Firefox\Profiles\sx9de0m9.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/DTPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.45.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=6.0.11.3088 - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprjplug;version=1.0.2.3146 - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpjplug;version=6.0.11.3006 - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals)
FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: toolbar_AVIRA-V7 - C:\Users\Melanie\AppData\Roaming\Mozilla\Firefox\Profiles\sx9de0m9.default\Extensions\toolbar_AVIRA-V7@apn.ask.com.xpi
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [440392 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [1164360 2013-10-01] (Avira Operations GmbH & Co. KG)
R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-10-23] (APN LLC.)
S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-15] (BonanzaDeals)
S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-15] (BonanzaDeals)
S3 NBService; C:\Program Files\Nero 7\Nero BackItUp\NBService.exe [779824 2007-03-14] (Nero AG)

==================== Drivers (Whitelisted) ====================

R2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [281504 2013-05-03] ()
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [89376 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137208 2013-10-01] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-10-01] (Avira Operations GmbH & Co. KG)
S3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [264704 2006-07-31] (AVM GmbH)
R3 irsir; C:\Windows\System32\DRIVERS\irsir.sys [20992 2008-01-19] (Microsoft Corporation)
R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [25888 2013-05-03] ()
S3 LVUSBSta; C:\Windows\System32\drivers\lvusbsta.sys [22016 2005-01-31] (Logitech Inc.)
S3 PID_0928; C:\Windows\System32\DRIVERS\LV561AV.SYS [211712 2005-01-31] (Logitech Inc.)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [715248 2008-01-02] ()
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-08-15] (Avira GmbH)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
U3 agdiifow; \??\C:\Users\Melanie\AppData\Local\Temp\agdiifow.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-11-15 20:00 - 2013-11-15 20:00 - 00012091 ____C C:\Users\Melanie\Downloads\FRST.txt
2013-11-15 19:59 - 2013-11-15 19:59 - 01090529 ____C (Farbar) C:\Users\Melanie\Downloads\FRST.exe
2013-11-15 19:59 - 2013-11-15 19:59 - 00000000 ___DC C:\FRST
2013-11-15 19:50 - 2013-11-15 19:55 - 00000000 ___DC C:\Program Files\MyPC Backup
2013-11-15 19:49 - 2013-11-15 19:54 - 00000916 ____C C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job
2013-11-15 19:48 - 2013-11-15 19:53 - 00000912 ____C C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job
2013-11-15 19:47 - 2013-11-15 19:47 - 00665064 ____C C:\Users\Melanie\Downloads\ZipExtractorSetup(1).exe
2013-11-15 19:42 - 2013-11-15 19:42 - 00010794 ____C C:\Users\Melanie\Desktop\Gmer.log
2013-11-15 18:20 - 2013-11-15 18:20 - 00377856 ____C C:\Users\Melanie\Downloads\xk1ye031.exe
2013-11-15 18:05 - 2013-11-15 18:05 - 00000941 ____C C:\Users\Melanie\Desktop\Neues Textdokument.txt
2013-11-15 17:58 - 2013-11-15 19:57 - 00000000 ___DC C:\Program Files\BonanzaDeals
2013-11-15 17:58 - 2013-11-15 19:56 - 00000000 ___DC C:\Users\Melanie\AppData\Roaming\Systweak
2013-11-15 17:58 - 2013-11-15 19:49 - 00000300 ____C C:\Windows\Tasks\DigitalSite.job
2013-11-15 17:58 - 2013-11-15 19:48 - 00000000 ___DC C:\Program Files\BonanzaDealsLive
2013-11-15 17:58 - 2013-11-15 18:19 - 00000000 ___DC C:\ProgramData\eSafe
2013-11-15 17:58 - 2013-11-15 17:58 - 00000000 ___DC C:\Users\Melanie\AppData\Roaming\DigitalSite
2013-11-15 17:58 - 2013-11-15 17:58 - 00000000 ___DC C:\Users\Melanie\AppData\Local\BonanzaDealsLive
2013-11-15 17:58 - 2013-11-15 17:58 - 00000000 ___DC C:\ProgramData\BonanzaDealsLive
2013-11-15 17:58 - 2013-09-17 11:25 - 00018776 ____C (Systweak Inc., (www.systweak.com)) C:\Windows\system32\roboot.exe
2013-11-15 17:45 - 2013-11-15 17:45 - 00000000 ___DC C:\Windows\LastGood
2013-11-15 17:45 - 2011-08-11 06:46 - 00542312 ____C (Realtek Semiconductor Corporation                          ) C:\Windows\system32\Drivers\RTL8192su.sys
2013-11-14 18:20 - 2013-11-14 18:20 - 00000000 ___DC C:\Program Files\Mozilla Firefox
2013-11-14 17:36 - 2013-10-12 13:13 - 00834048 ____C (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 06119424 ____C (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 03627008 ____C (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 01177600 ____C (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00671232 ____C (Microsoft Corporation) C:\Windows\system32\mstime.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00498688 ____C (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00480256 ____C (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00380928 ____C (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00271872 ____C (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00193024 ____C (Microsoft Corporation) C:\Windows\system32\iepeers.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00180736 ____C (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00106496 ____C (Microsoft Corporation) C:\Windows\system32\url.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00027648 ____C (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-11-14 17:36 - 2013-10-12 13:12 - 00019456 ____C (Microsoft Corporation) C:\Windows\system32\corpol.dll
2013-11-14 17:36 - 2013-10-12 11:52 - 00389632 ____C (Microsoft Corporation) C:\Windows\system32\html.iec
2013-11-14 17:36 - 2013-10-12 11:41 - 01383424 ____C (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-11-14 17:36 - 2013-10-03 13:45 - 00297984 ____C (Microsoft Corporation) C:\Windows\system32\gdi32.dll
2013-11-14 17:35 - 2013-10-11 03:08 - 00444928 ____C (Microsoft Corporation) C:\Windows\system32\IKEEXT.DLL
2013-11-14 17:35 - 2013-10-11 03:07 - 00596480 ____C (Microsoft Corporation) C:\Windows\system32\FWPUCLNT.DLL
2013-11-14 17:35 - 2013-10-11 01:39 - 00218228 ____C C:\Windows\system32\WFP.TMF
2013-11-14 17:35 - 2013-10-03 13:45 - 00993792 ____C (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-11-13 19:25 - 2013-11-13 19:25 - 00022410 ____C C:\Users\Melanie\Desktop\AVSCAN-20131113-165853-5151E3F4.LOG
2013-10-23 16:05 - 2013-10-23 16:05 - 00000000 ___DC C:\ProgramData\Oracle
2013-10-23 16:05 - 2013-10-23 16:05 - 00000000 ___DC C:\Program Files\Common Files\Java
2013-10-23 16:05 - 2013-10-08 06:46 - 00264616 ____C (Oracle Corporation) C:\Windows\system32\javaws.exe
2013-10-23 16:04 - 2013-10-23 16:04 - 00004874 ____C C:\Windows\system32\jupdate-1.7.0_45-b18.log
2013-10-23 16:04 - 2013-10-08 06:50 - 00094632 ____C (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2013-10-23 16:04 - 2013-10-08 06:46 - 00175016 ____C (Oracle Corporation) C:\Windows\system32\javaw.exe
2013-10-23 16:04 - 2013-10-08 06:46 - 00174504 ____C (Oracle Corporation) C:\Windows\system32\java.exe

==================== One Month Modified Files and Folders =======

2013-11-15 20:00 - 2013-11-15 20:00 - 00012091 ____C C:\Users\Melanie\Downloads\FRST.txt
2013-11-15 19:59 - 2013-11-15 19:59 - 01090529 ____C (Farbar) C:\Users\Melanie\Downloads\FRST.exe
2013-11-15 19:59 - 2013-11-15 19:59 - 00000000 ___DC C:\FRST
2013-11-15 19:57 - 2013-11-15 17:58 - 00000000 ___DC C:\Program Files\BonanzaDeals
2013-11-15 19:56 - 2013-11-15 17:58 - 00000000 ___DC C:\Users\Melanie\AppData\Roaming\Systweak
2013-11-15 19:55 - 2013-11-15 19:50 - 00000000 ___DC C:\Program Files\MyPC Backup
2013-11-15 19:54 - 2013-11-15 19:49 - 00000916 ____C C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job
2013-11-15 19:53 - 2013-11-15 19:48 - 00000912 ____C C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job
2013-11-15 19:50 - 2006-11-02 13:47 - 00003792 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-15 19:50 - 2006-11-02 13:47 - 00003792 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-15 19:49 - 2013-11-15 17:58 - 00000300 ____C C:\Windows\Tasks\DigitalSite.job
2013-11-15 19:48 - 2013-11-15 17:58 - 00000000 ___DC C:\Program Files\BonanzaDealsLive
2013-11-15 19:47 - 2013-11-15 19:47 - 00665064 ____C C:\Users\Melanie\Downloads\ZipExtractorSetup(1).exe
2013-11-15 19:43 - 2006-11-02 13:52 - 01937681 ____C C:\Windows\WindowsUpdate.log
2013-11-15 19:42 - 2013-11-15 19:42 - 00010794 ____C C:\Users\Melanie\Desktop\Gmer.log
2013-11-15 18:20 - 2013-11-15 18:20 - 00377856 ____C C:\Users\Melanie\Downloads\xk1ye031.exe
2013-11-15 18:19 - 2013-11-15 17:58 - 00000000 ___DC C:\ProgramData\eSafe
2013-11-15 18:16 - 2011-06-26 11:59 - 00000852 ____C C:\Users\Public\Desktop\Mozilla Firefox.lnk
2013-11-15 18:16 - 2007-08-16 02:15 - 00000955 ____C C:\Users\Melanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-11-15 18:05 - 2013-11-15 18:05 - 00000941 ____C C:\Users\Melanie\Desktop\Neues Textdokument.txt
2013-11-15 17:58 - 2013-11-15 17:58 - 00000000 ___DC C:\Users\Melanie\AppData\Roaming\DigitalSite
2013-11-15 17:58 - 2013-11-15 17:58 - 00000000 ___DC C:\Users\Melanie\AppData\Local\BonanzaDealsLive
2013-11-15 17:58 - 2013-11-15 17:58 - 00000000 ___DC C:\ProgramData\BonanzaDealsLive
2013-11-15 17:58 - 2008-04-30 19:37 - 00000000 ___DC C:\Users\Melanie\AppData\Local\Google
2013-11-15 17:58 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\rescache
2013-11-15 17:47 - 2006-11-02 11:33 - 01445352 ____C C:\Windows\system32\PerfStringBackup.INI
2013-11-15 17:45 - 2013-11-15 17:45 - 00000000 ___DC C:\Windows\LastGood
2013-11-15 17:45 - 2007-03-04 00:02 - 00000000 ___DC C:\Users\Melanie
2013-11-15 17:40 - 2006-11-02 14:01 - 00000006 ___HC C:\Windows\Tasks\SA.DAT
2013-11-14 19:32 - 2006-11-02 14:01 - 00032632 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-11-14 19:18 - 2012-07-16 21:10 - 00000000 ___DC C:\Program Files\Mozilla Maintenance Service
2013-11-14 19:17 - 2006-11-02 12:18 - 00000000 ___DC C:\Windows\system32\de-DE
2013-11-14 19:03 - 2007-03-27 15:45 - 00000000 ___DC C:\ProgramData\Microsoft Help
2013-11-14 19:02 - 2013-08-15 21:38 - 00000000 ___DC C:\Windows\system32\MRT
2013-11-14 19:01 - 2006-11-02 11:24 - 80340640 ____C (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-11-14 18:50 - 2007-06-15 19:49 - 00002591 ____C C:\Users\Melanie\Desktop\Microsoft Office Word 2007.lnk
2013-11-14 18:20 - 2013-11-14 18:20 - 00000000 ___DC C:\Program Files\Mozilla Firefox
2013-11-13 19:25 - 2013-11-13 19:25 - 00022410 ____C C:\Users\Melanie\Desktop\AVSCAN-20131113-165853-5151E3F4.LOG
2013-10-23 16:05 - 2013-10-23 16:05 - 00000000 ___DC C:\ProgramData\Oracle
2013-10-23 16:05 - 2013-10-23 16:05 - 00000000 ___DC C:\Program Files\Common Files\Java
2013-10-23 16:04 - 2013-10-23 16:04 - 00004874 ____C C:\Windows\system32\jupdate-1.7.0_45-b18.log
2013-10-23 16:04 - 2007-03-09 20:22 - 00000000 ___DC C:\Program Files\Java
2013-10-16 16:30 - 2012-07-09 19:36 - 00000000 ___DC C:\Program Files\Steam

Some content of TEMP:
====================
C:\Users\Melanie\AppData\Local\Temp\718631~1.exe
C:\Users\Melanie\AppData\Local\Temp\AdobeUpdater12345.exe
C:\Users\Melanie\AppData\Local\Temp\AskSLib.dll
C:\Users\Melanie\AppData\Local\Temp\avgnt.exe
C:\Users\Melanie\AppData\Local\Temp\A~NSISu_.exe
C:\Users\Melanie\AppData\Local\Temp\BackupSetup.exe
C:\Users\Melanie\AppData\Local\Temp\CmdLineExt.dll
C:\Users\Melanie\AppData\Local\Temp\drm_dialogs.dll
C:\Users\Melanie\AppData\Local\Temp\EBUF453.exe
C:\Users\Melanie\AppData\Local\Temp\EBUFAEA.DLL
C:\Users\Melanie\AppData\Local\Temp\FlashPlayerUpdate.exe
C:\Users\Melanie\AppData\Local\Temp\FlashPlayerUpdate01.exe
C:\Users\Melanie\AppData\Local\Temp\FlashPlayerUpdate02.exe
C:\Users\Melanie\AppData\Local\Temp\FlashPlayerUpdate03.exe
C:\Users\Melanie\AppData\Local\Temp\ICQInstall.exe
C:\Users\Melanie\AppData\Local\Temp\ICQRT.dll
C:\Users\Melanie\AppData\Local\Temp\ICQTIK.dll
C:\Users\Melanie\AppData\Local\Temp\install_flashplayer11x32_mssd_aaa_aih.exe
C:\Users\Melanie\AppData\Local\Temp\install_reader10_de_mssd_aaa_aih.exe
C:\Users\Melanie\AppData\Local\Temp\install_reader10_de_mssd_aaa_aih_1.exe
C:\Users\Melanie\AppData\Local\Temp\install_reader10_de_mssd_aaa_aih_2.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u19-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u20-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u21-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u22-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u23-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u24-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u26-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-6u29-windows-i586-iftw-rv.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u11-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u15-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u5-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u7-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\jre-7u9-windows-i586-iftw.exe
C:\Users\Melanie\AppData\Local\Temp\ose00000.exe
C:\Users\Melanie\AppData\Local\Temp\pacificpokersetup.exe
C:\Users\Melanie\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Melanie\AppData\Local\Temp\SPTDinst-x64.exe
C:\Users\Melanie\AppData\Local\Temp\swt-awt-win32-3346.dll
C:\Users\Melanie\AppData\Local\Temp\swt-gdip-win32-3346.dll
C:\Users\Melanie\AppData\Local\Temp\swt-win32-3346.dll
C:\Users\Melanie\AppData\Local\Temp\_unps.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-11-15 17:51

==================== End Of Log ============================
--- --- ---



und hier die Addition:

Code:
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 14-11-2013
Ran by Melanie at 2013-11-15 20:01:21
Running from C:\Users\Melanie\Downloads
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Avira Desktop (Enabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Enabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

 Update for Microsoft Office 2007 (KB2508958)
Adobe AIR (Version: 3.7.0.1530)
Adobe Flash Player 11 Plugin (Version: 11.7.700.224)
Adobe Reader X (10.1.8) - Deutsch (Version: 10.1.8)
ANNO 1503 GOLD (Version: 1.05.00)
Audio Tagging Tools (Version: 3.0.0 final)
Avira Free Antivirus (Version: 14.0.0.383)
Avira SearchFree Toolbar (Version: 12.6.0.1900)
Compatibility Pack für 2007 Office System (Version: 12.0.6612.1000)
DirectX for Managed Code Update (Summer 2004) (Version: 9.02.2904)
Easy CD-DA Extractor 11 (Version: 11.5.2)
Enclave
Flixster (Version: 0.1.15)
Free Studio version 4.9
Google Update Helper (Version: 1.3.23.0)
Java 7 Update 45 (Version: 7.0.450)
Java Auto Updater (Version: 2.1.9.8)
Logitech QuickCam-Software (Version: 8.47.0000)
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office Access 2007 (Version: 12.0.6612.1000)
Microsoft Office Access MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Excel 2007 (Version: 12.0.6612.1000)
Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office File Validation Add-In (Version: 14.0.5130.5003)
Microsoft Office Live Add-in 1.5 (Version: 2.0.4024.1)
Microsoft Office PowerPoint 2007 (Version: 12.0.6612.1000)
Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Word 2007 (Version: 12.0.6612.1000)
Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Silverlight (Version: 5.1.20913.0)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (Version: 8.0.50727.4053)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (Version: 9.0.30729.5570)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 25.0 (x86 de) (Version: 25.0)
Mozilla Maintenance Service (Version: 25.0)
MSXML 4.0 SP2 (KB925672) (Version: 4.20.9839.0)
MSXML 4.0 SP2 (KB927978) (Version: 4.20.9841.0)
MSXML 4.0 SP2 (KB936181) (Version: 4.20.9848.0)
MSXML 4.0 SP2 (KB941833) (Version: 4.20.9849.0)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
Nero 7 (Version: 7.02.6445)
neroxml (Version: 1.0.0)
NVIDIA Display Control Panel (Version: 6.14.12.5896)
NVIDIA Grafiktreiber 307.83 (Version: 307.83)
NVIDIA Install Application (Version: 2.1002.109.706)
NVIDIA Systemsteuerung 307.83 (Version: 307.83)
NVIDIA Update 1.10.8 (Version: 1.10.8)
NVIDIA Update Components (Version: 1.10.8)
Portal
PVSonyDll (Version: 1.00.0001)
QuickTime (Version: 7.1)
RealPlayer
Sins of a Solar Empire Trinity
Sins of a Solar Empire: Rebellion
Skype™ 5.10 (Version: 5.10.116)
Stardock Central
Steam (Version: 1.0.0.0)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939v3) (Version: 3)
Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2687493) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767849) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VideoLAN VLC media player 0.8.6h (Version: 0.8.6h)
WinZip (Version:  8.1  (4331g))

==================== Restore Points  =========================

14-11-2013 17:13:23 Geplanter Prüfpunkt
14-11-2013 18:00:17 Windows Update
15-11-2013 16:45:35 Gerätetreiber-Paketinstallation: Realtek Semiconductor Corp. Netzwerkadapter
15-11-2013 16:52:21 Removed TomTom HOME Visual Studio Merge Modules

==================== Hosts content: ==========================

2006-11-02 11:23 - 2006-09-18 22:41 - 00000761 ___AC C:\Windows\system32\Drivers\etc\hosts
127.0.0.1      localhost
::1            localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {10D2E30C-A67A-4D3D-8486-7551D377BBDD} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-15] (BonanzaDeals)
Task: {1CC81347-6204-4B83-900C-01E02F50F067} - System32\Tasks\Microsoft\Windows\MobilePC\TMM
Task: {3BCDF251-CA5C-4045-A1FC-8FCEF9FBDC93} - System32\Tasks\Microsoft\Windows\Shell\CrawlStartPages
Task: {44980BEE-7809-44A9-AC24-D6E578A3B7DF} - System32\Tasks\Microsoft\Windows\RAC\RACAgent => C:\Windows\System32\RacAgent.exe [2008-01-19] (Microsoft Corporation)
Task: {8699ECEE-F25F-4537-8476-B1E3A096A0EE} - System32\Tasks\DigitalSite => C:\Users\Melanie\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE
Task: {BE5D03A3-9ADA-46D3-9758-179FADB26D25} - System32\Tasks\Microsoft\Windows\NetworkAccessProtection\NAPStatus UI
Task: {BE786F57-5C14-4336-8F45-15D98C279E26} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-15] (BonanzaDeals)
Task: {E5150B95-F9B4-4D5D-95A2-7EC1ACBA95F8} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\System32\gatherWirelessInfo.vbs [2008-01-05] ()
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\Melanie\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE

==================== Loaded Modules (whitelisted) =============

2008-03-09 18:32 - 2008-01-23 18:55 - 00055784 ____C () C:\Program Files\Easy CD-DA Extractor\ezcddax11.dll
2013-11-14 18:20 - 2013-11-14 18:20 - 03368048 ____C () C:\Program Files\Mozilla Firefox\mozjs.dll
2013-06-16 13:50 - 2013-06-16 13:50 - 16033160 ____C () C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll

==================== Alternate Data Streams (whitelisted) =========

AlternateDataStreams: C:\ProgramData\TEMP:1493A0EF

==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (11/15/2013 07:52:28 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung FlashPlayerPlugin_11_7_700_224.exe, Version 11.7.700.224, Zeitstempel 0x51a67447, fehlerhaftes Modul ShimEng.dll_unloaded, Version 0.0.0.0, Zeitstempel 0x4549bdb7, Ausnahmecode 0xc0000005, Fehleroffset 0x6ac74618,
Prozess-ID 0x6d4, Anwendungsstartzeit FlashPlayerPlugin_11_7_700_224.exe0.

Error: (11/15/2013 06:28:08 PM) (Source: Perflib) (User: )
Description: EmdCacheC:\Windows\system32\emdmgmt.dll4

Error: (11/13/2013 04:49:41 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung explorer.exe, Version 6.0.6002.18005, Zeitstempel 0x49e01da5, fehlerhaftes Modul ntdll.dll, Version 6.0.6002.18881, Zeitstempel 0x51da3e27, Ausnahmecode 0xc0000005, Fehleroffset 0x00066609,
Prozess-ID 0xcdc, Anwendungsstartzeit explorer.exe0.

Error: (11/13/2013 04:48:05 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung explorer.exe, Version 6.0.6002.18005, Zeitstempel 0x49e01da5, fehlerhaftes Modul ntdll.dll, Version 6.0.6002.18881, Zeitstempel 0x51da3e27, Ausnahmecode 0xc0000005, Fehleroffset 0x00066609,
Prozess-ID 0xb6c, Anwendungsstartzeit explorer.exe0.

Error: (11/13/2013 04:38:54 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung Explorer.EXE, Version 6.0.6002.18005, Zeitstempel 0x49e01da5, fehlerhaftes Modul ntdll.dll, Version 6.0.6002.18881, Zeitstempel 0x51da3e27, Ausnahmecode 0xc0000005, Fehleroffset 0x00066609,
Prozess-ID 0x7e8, Anwendungsstartzeit Explorer.EXE0.

Error: (10/21/2013 09:43:08 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung firefox.exe, Version 24.0.0.5001, Zeitstempel 0x522fd29f, fehlerhaftes Modul xul.dll, Version 24.0.0.5001, Zeitstempel 0x522fd1a4, Ausnahmecode 0xc0000005, Fehleroffset 0x001b72a8,
Prozess-ID 0xb40, Anwendungsstartzeit firefox.exe0.

Error: (10/21/2013 06:23:10 PM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung Explorer.EXE, Version 6.0.6002.18005, Zeitstempel 0x49e01da5, fehlerhaftes Modul ntdll.dll, Version 6.0.6002.18881, Zeitstempel 0x51da3e27, Ausnahmecode 0xc0000005, Fehleroffset 0x00066609,
Prozess-ID 0x778, Anwendungsstartzeit Explorer.EXE0.

Error: (10/09/2013 05:13:13 PM) (Source: System Restore) (User: )
Description: Fehler beim Erstellen des Wiederherstellungspunkts auf dem Volume (Prozess = C:\Program Files\Steam\steamapps\common\Enclave\directx\DXSETUP.exe Files\Steam\steamapps\common\Enclave\directx\DXSETUP.exe" /silent; Beschreibung = äx%v; Hr = 0x80070057).

Error: (10/09/2013 05:12:07 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005.
Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.


Vorgang:
  Generatordaten werden gesammelt

Kontext:
  Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
  Generatorname: System Writer
  Generatorinstanz-ID: {48e85087-7d9d-4efd-9284-e9037c111372}

Error: (10/05/2013 11:59:12 AM) (Source: Application Error) (User: )
Description: Fehlerhafte Anwendung Explorer.EXE, Version 6.0.6002.18005, Zeitstempel 0x49e01da5, fehlerhaftes Modul ntdll.dll, Version 6.0.6002.18881, Zeitstempel 0x51da3e27, Ausnahmecode 0xc0000005, Fehleroffset 0x00066609,
Prozess-ID 0x7d0, Anwendungsstartzeit Explorer.EXE0.


System errors:
=============
Error: (11/15/2013 07:56:40 PM) (Source: DCOM) (User: )
Description: C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe -Embedding740{D5641912-E47A-429C-879E-CFE13EAC7A13}

Error: (11/15/2013 05:42:40 PM) (Source: Service Control Manager) (User: )
Description: NVIDIA Update Service Daemon%%1069

Error: (11/15/2013 05:42:40 PM) (Source: Service Control Manager) (User: )
Description: nvUpdatusService.\UpdatusUser%%1330

Error: (11/15/2013 05:41:31 PM) (Source: Service Control Manager) (User: )
Description: i8042prt

Error: (11/15/2013 05:39:41 PM) (Source: Microsoft-Windows-Kernel-Processor-Power) (User: NT-AUTORITÄT)
Description:

Error: (11/14/2013 07:31:11 PM) (Source: Microsoft-Windows-Kernel-Processor-Power) (User: NT-AUTORITÄT)
Description:

Error: (11/14/2013 07:22:49 PM) (Source: Service Control Manager) (User: )
Description: NVIDIA Update Service Daemon%%1069

Error: (11/14/2013 07:22:49 PM) (Source: Service Control Manager) (User: )
Description: nvUpdatusService.\UpdatusUser%%1330

Error: (11/14/2013 07:22:19 PM) (Source: bowser) (User: )
Description: Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "EASYBOX",
der der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{3A1D2AD5-C806-4B90-A075-A5401CE794-Transport zu sein scheint.
Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.

Error: (11/14/2013 07:20:46 PM) (Source: Service Control Manager) (User: )
Description: i8042prt


Microsoft Office Sessions:
=========================

==================== Memory info ===========================

Percentage of memory in use: 43%
Total physical RAM: 3070.58 MB
Available physical RAM: 1736.21 MB
Total Pagefile: 6361.56 MB
Available Pagefile: 4901.2 MB
Total Virtual: 2047.88 MB
Available Virtual: 1898.5 MB

==================== Drives ================================

Drive c: (SYSTEM) (Fixed) (Total:97.66 GB) (Free:32.59 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATEN) (Fixed) (Total:135.23 GB) (Free:92.62 GB) NTFS
Drive e: (Drivers) (CDROM) (Total:0.13 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 233 GB) (Disk ID: B5B47250)
Partition 1: (Active) - (Size=98 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=135 GB) - (Type=07 NTFS)

==================== End Of Log ============================

aharonov 15.11.2013 21:05
Kannst du das Gmer-Log auch noch posten?

JoDark 16.11.2013 09:56
Klar doch:

Code:
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-11-15 19:42:22
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 WDC_WD2500JS-00MHB0 rev.02.01C03 232,88GB
Running: xk1ye031.exe; Driver: C:\Users\Melanie\AppData\Local\Temp\agdiifow.sys


---- System - GMER 2.1 ----

SSDT      8BD414FE                                                                                                            ZwCreateSection
SSDT      8BD41508                                                                                                            ZwRequestWaitReplyPort
SSDT      8BD41503                                                                                                            ZwSetContextThread
SSDT      8BD4150D                                                                                                            ZwSetSecurityObject
SSDT      8BD41512                                                                                                            ZwSystemDebugControl
SSDT      8BD4149F                                                                                                            ZwTerminateProcess

INT 0x62  ?                                                                                                                    86352F00
INT 0x82  ?                                                                                                                    86352F00
INT 0x92  ?                                                                                                                    86352F00
INT 0xA2  ?                                                                                                                    84A8EBF8
INT 0xB2  ?                                                                                                                    84A8EBF8
INT 0xB2  ?                                                                                                                    84A8EBF8
INT 0xB2  ?                                                                                                                    86352F00
INT 0xB2  ?                                                                                                                    84A8EBF8

---- Kernel code sections - GMER 2.1 ----

.text    ntoskrnl.exe!KeInsertQueue + 405                                                                                    8206F90C 4 Bytes  [FE, 14, D4, 8B]
.text    ntoskrnl.exe!KeInsertQueue + 729                                                                                    8206FC30 4 Bytes  [08, 15, D4, 8B]
.text    ntoskrnl.exe!KeInsertQueue + 75D                                                                                    8206FC64 4 Bytes  [03, 15, D4, 8B]
.text    ntoskrnl.exe!KeInsertQueue + 7C1                                                                                    8206FCC8 4 Bytes  [0D, 15, D4, 8B]
.text    ntoskrnl.exe!KeInsertQueue + 809                                                                                    8206FD10 4 Bytes  [12, 15, D4, 8B]
.text    ...                                                                                                                 
?        System32\Drivers\spqk.sys                                                                                            Das System kann den angegebenen Pfad nicht finden. !
.text    C:\Windows\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0x9E6FC300, 0x3B638, 0xE8000020]
.text    C:\Windows\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0x9E73F300, 0x1BEE, 0xE8000020]
?        \Program Files\DAEMON Tools Lite\daemon.dll                                                                          Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 2.1 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                              854231F8
Device    \Driver\volmgr \Device\VolMgrControl                                                                                84A901F8
Device    \Driver\usbuhci \Device\USBPDO-0                                                                                    864A61F8
Device    \Driver\usbuhci \Device\USBPDO-1                                                                                    864A61F8
Device    \Driver\usbuhci \Device\USBPDO-2                                                                                    864A61F8
Device    \Driver\netbt \Device\NetBT_Tcpip_{ABC1D8C2-AA7A-4EB1-BE01-E452FD41E485}                                            86869500
Device    \Driver\usbuhci \Device\USBPDO-3                                                                                    864A61F8
Device    \Driver\usbehci \Device\USBPDO-4                                                                                    863891F8
Device    \Driver\volmgr \Device\HarddiskVolume1                                                                              84A901F8
Device    \Driver\cdrom \Device\CdRom0                                                                                        863D11F8
Device    \Driver\volmgr \Device\HarddiskVolume2                                                                              84A901F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0                                                                          854221F8
Device    \Driver\atapi \Device\Ide\IdePort0                                                                                  854221F8
Device    \Driver\atapi \Device\Ide\IdePort1                                                                                  854221F8
Device    \Driver\atapi \Device\Ide\IdePort2                                                                                  854221F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1                                                                          854221F8
Device    \Driver\netbt \Device\NetBt_Wins_Export                                                                              86869500
Device    \Driver\Smb \Device\NetbiosSmb                                                                                      86871500
Device    \Driver\iScsiPrt \Device\RaidPort0                                                                                  8632A1F8
Device    \Driver\usbuhci \Device\USBFDO-0                                                                                    864A61F8
Device    \Driver\netbt \Device\NetBT_Tcpip_{5235258D-AFD5-47D3-85C9-E61C79B2AC14}                                            86869500
Device    \Driver\usbuhci \Device\USBFDO-1                                                                                    864A61F8
Device    \Driver\usbuhci \Device\USBFDO-2                                                                                    864A61F8
Device    \Driver\usbuhci \Device\USBFDO-3                                                                                    864A61F8
Device    \Driver\usbehci \Device\USBFDO-4                                                                                    863891F8

---- Trace I/O - GMER 2.1 ----

Trace    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x854221f8]<<                                                          854221f8
Trace    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85694550]                                                              85694550
Trace    3 CLASSPNP.SYS[8a9ac8b3] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-1[0x8546f660]                            8546f660
Trace    \Driver\atapi[0x85476800] -> IRP_MJ_CREATE -> 0x854221f8                                                            854221f8

---- Registry - GMER 2.1 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0xC4 0x79 0xAE 0xB3 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x28 0xE9 0x9D 0x2A ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0xCB 0x13 0x9A 0x60 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xC4 0x79 0xAE 0xB3 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x28 0xE9 0x9D 0x2A ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xCB 0x13 0x9A 0x60 ...

---- EOF - GMER 2.1 ----

aharonov 16.11.2013 15:38
Der versteckte Treiber scheint tatsächlich der Emulatortreiber zu sein.
Deaktiviere diesen temporär mit defogger mach danach neue Scans mit Avira und Gmer. Poste dann diese beiden Logs.


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button.
  • Bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
  • Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Scanne mit Avira und Gmer. Poste diese beiden Logs.

JoDark 18.11.2013 22:00
So, jetzt bin ich durch. Jetzt hat er auf einmal was neues gefunden, dieses Mal einen Trojaner... echt komisch. Hier die Logs:

Avira:

Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 18. November 2013  18:07


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : MELANIE-PC

Versionsinformationen:
BUILD.DAT      : 14.0.0.383    55392 Bytes  30.09.2013 11:01:00
AVSCAN.EXE    : 14.0.0.383    968776 Bytes  01.10.2013 09:18:29
AVSCANRC.DLL  : 14.0.0.225    62024 Bytes  01.10.2013 09:18:30
LUKE.DLL      : 14.0.0.383    65096 Bytes  01.10.2013 09:19:19
AVSCPLR.DLL    : 14.0.0.383    92232 Bytes  01.10.2013 09:18:30
AVREG.DLL      : 14.0.0.383    250440 Bytes  01.10.2013 09:18:27
avlode.dll    : 14.0.0.383    512584 Bytes  01.10.2013 09:18:25
avlode.rdf    : 13.0.1.48      27867 Bytes  13.11.2013 15:34:26
VBASE000.VDF  : 7.11.70.0  66736640 Bytes  04.04.2013 16:54:16
VBASE001.VDF  : 7.11.74.226  2201600 Bytes  30.04.2013 11:27:33
VBASE002.VDF  : 7.11.80.60  2751488 Bytes  28.05.2013 14:55:56
VBASE003.VDF  : 7.11.85.214  2162688 Bytes  21.06.2013 14:56:21
VBASE004.VDF  : 7.11.91.176  3903488 Bytes  23.07.2013 15:52:32
VBASE005.VDF  : 7.11.98.186  6822912 Bytes  29.08.2013 12:41:41
VBASE006.VDF  : 7.11.103.230  2293248 Bytes  24.09.2013 17:51:21
VBASE007.VDF  : 7.11.111.18  3598336 Bytes  06.11.2013 17:38:03
VBASE008.VDF  : 7.11.111.19    2048 Bytes  06.11.2013 17:38:03
VBASE009.VDF  : 7.11.111.20    2048 Bytes  06.11.2013 17:38:03
VBASE010.VDF  : 7.11.111.21    2048 Bytes  06.11.2013 17:38:03
VBASE011.VDF  : 7.11.111.22    2048 Bytes  06.11.2013 17:38:03
VBASE012.VDF  : 7.11.111.23    2048 Bytes  06.11.2013 17:38:03
VBASE013.VDF  : 7.11.111.150  168448 Bytes  07.11.2013 17:38:04
VBASE014.VDF  : 7.11.112.47  247808 Bytes  08.11.2013 10:31:42
VBASE015.VDF  : 7.11.112.139  323584 Bytes  11.11.2013 15:34:21
VBASE016.VDF  : 7.11.113.39  221696 Bytes  13.11.2013 15:34:21
VBASE017.VDF  : 7.11.113.149  246272 Bytes  15.11.2013 08:45:39
VBASE018.VDF  : 7.11.113.243  220160 Bytes  17.11.2013 11:42:27
VBASE019.VDF  : 7.11.113.244    2048 Bytes  17.11.2013 11:42:27
VBASE020.VDF  : 7.11.113.245    2048 Bytes  17.11.2013 11:42:27
VBASE021.VDF  : 7.11.113.246    2048 Bytes  17.11.2013 11:42:27
VBASE022.VDF  : 7.11.113.247    2048 Bytes  17.11.2013 11:42:27
VBASE023.VDF  : 7.11.113.248    2048 Bytes  17.11.2013 11:42:27
VBASE024.VDF  : 7.11.113.249    2048 Bytes  17.11.2013 11:42:27
VBASE025.VDF  : 7.11.113.250    2048 Bytes  17.11.2013 11:42:27
VBASE026.VDF  : 7.11.113.251    2048 Bytes  17.11.2013 11:42:27
VBASE027.VDF  : 7.11.113.252    2048 Bytes  17.11.2013 11:42:28
VBASE028.VDF  : 7.11.113.253    2048 Bytes  17.11.2013 11:42:28
VBASE029.VDF  : 7.11.113.254    2048 Bytes  17.11.2013 11:42:28
VBASE030.VDF  : 7.11.113.255    2048 Bytes  17.11.2013 11:42:28
VBASE031.VDF  : 7.11.114.68  252928 Bytes  18.11.2013 11:42:34
Engineversion  : 8.2.12.144
AEVDF.DLL      : 8.1.3.4      102774 Bytes  16.06.2013 10:18:15
AESCRIPT.DLL  : 8.1.4.168    520574 Bytes  14.11.2013 16:28:21
AESCN.DLL      : 8.1.10.4      131446 Bytes  27.03.2013 16:24:05
AESBX.DLL      : 8.2.16.26    1245560 Bytes  23.08.2013 15:30:19
AERDL.DLL      : 8.2.0.128    688504 Bytes  16.06.2013 10:18:13
AEPACK.DLL    : 8.3.3.4      758136 Bytes  16.10.2013 14:41:20
AEOFFICE.DLL  : 8.1.2.76      205181 Bytes  15.08.2013 16:04:47
AEHEUR.DLL    : 8.1.4.758    6275450 Bytes  14.11.2013 16:28:20
AEHELP.DLL    : 8.1.27.8      266617 Bytes  07.11.2013 17:38:08
AEGEN.DLL      : 8.1.7.20      446839 Bytes  13.11.2013 15:34:25
AEEXP.DLL      : 8.4.1.100    369016 Bytes  03.11.2013 21:13:16
AEEMU.DLL      : 8.1.3.2      393587 Bytes  15.08.2012 17:28:02
AECORE.DLL    : 8.1.32.2      201081 Bytes  07.11.2013 17:38:06
AEBB.DLL      : 8.1.1.4        53619 Bytes  10.11.2012 18:39:21
AVWINLL.DLL    : 14.0.0.225    23624 Bytes  01.10.2013 09:17:13
AVPREF.DLL    : 14.0.0.225    48712 Bytes  01.10.2013 09:18:27
AVREP.DLL      : 14.0.0.225    175688 Bytes  01.10.2013 09:18:28
AVARKT.DLL    : 14.0.0.225    257096 Bytes  01.10.2013 09:18:15
AVEVTLOG.DLL  : 14.0.0.383    165960 Bytes  01.10.2013 09:18:20
SQLITE3.DLL    : 3.7.0.1      394824 Bytes  15.08.2013 16:09:59
AVSMTP.DLL    : 14.0.0.225    60488 Bytes  01.10.2013 09:18:32
NETNT.DLL      : 14.0.0.225    13384 Bytes  01.10.2013 09:19:19
RCIMAGE.DLL    : 14.0.0.225  4786760 Bytes  01.10.2013 09:17:13
RCTEXT.DLL    : 14.0.0.225    67144 Bytes  01.10.2013 09:17:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 18. November 2013  18:07

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D:)'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBNotifier.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'apnmcp.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2254' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Users\Melanie\AppData\Local\Temp\fullpackage_temp1384534678\tmp\eGdpSvc.exe
  [FUND]      Ist das Trojanische Pferd TR/Wysotot.C
C:\Users\Melanie\AppData\Local\Temp\is1590112554\7700954_stp\uninstaller.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
Beginne mit der Suche in 'D:\' <DATEN>

Beginne mit der Desinfektion:
C:\Users\Melanie\AppData\Local\Temp\is1590112554\7700954_stp\uninstaller.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '544ddf69.qua' verschoben!
C:\Users\Melanie\AppData\Local\Temp\fullpackage_temp1384534678\tmp\eGdpSvc.exe
  [FUND]      Ist das Trojanische Pferd TR/Wysotot.C
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc7f0e7.qua' verschoben!


Ende des Suchlaufs: Montag, 18. November 2013  21:06
Benötigte Zeit:  1:27:21 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  26316 Verzeichnisse wurden überprüft
 580874 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 580872 Dateien ohne Befall
  7782 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 629249 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
und hier Gmer:

Code:
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-11-18 21:54:17
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-0 WDC_WD2500JS-00MHB0 rev.02.01C03 232,88GB
Running: s6mcnnm1.exe; Driver: C:\Users\Melanie\AppData\Local\Temp\agdiifow.sys


---- System - GMER 2.1 ----

SSDT  8D272D5E                                                                                                            ZwCreateSection
SSDT  8D272D68                                                                                                            ZwRequestWaitReplyPort
SSDT  8D272D63                                                                                                            ZwSetContextThread
SSDT  8D272D6D                                                                                                            ZwSetSecurityObject
SSDT  8D272D72                                                                                                            ZwSystemDebugControl
SSDT  8D272CFF                                                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text  ntoskrnl.exe!KeInsertQueue + 405                                                                                    8208590C 4 Bytes  [5E, 2D, 27, 8D]
.text  ntoskrnl.exe!KeInsertQueue + 729                                                                                    82085C30 4 Bytes  [68, 2D, 27, 8D]
.text  ntoskrnl.exe!KeInsertQueue + 75D                                                                                    82085C64 4 Bytes  [63, 2D, 27, 8D]
.text  ntoskrnl.exe!KeInsertQueue + 7C1                                                                                    82085CC8 4 Bytes  [6D, 2D, 27, 8D]
.text  ntoskrnl.exe!KeInsertQueue + 809                                                                                    82085D10 4 Bytes  [72, 2D, 27, 8D]
.text  ...                                                                                                                 
.text  C:\Windows\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0x9E620300, 0x3B638, 0xE8000020]
.text  C:\Windows\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0x9E663300, 0x1BEE, 0xE8000020]

---- User code sections - GMER 2.1 ----

.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateFile + 6              77A6426A 4 Bytes  [28, F8, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateFile + B              77A6426F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateKey + 6                77A642AA 4 Bytes  [68, F9, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateKey + B                77A642AF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateMutant + 6            77A642DA 4 Bytes  [28, FA, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateMutant + B            77A642DF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateSection + 6            77A6435A 4 Bytes  [68, FA, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtCreateSection + B            77A6435F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtMapViewOfSection + 6        77A649BA 4 Bytes  [A8, FC, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtMapViewOfSection + B        77A649BF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenFile + 6                77A64A4A 4 Bytes  [68, F8, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenFile + B                77A64A4F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenKey + 6                  77A64A7A 4 Bytes  [A8, F9, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenKey + B                  77A64A7F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenMutant + B              77A64A9F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenProcess + 6              77A64ACA 4 Bytes  [28, FB, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenProcess + B              77A64ACF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenProcessToken + 6        77A64ADA 4 Bytes  [68, FB, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenProcessToken + B        77A64ADF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenProcessTokenEx + 6      77A64AEA 4 Bytes  [28, FC, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenProcessTokenEx + B      77A64AEF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenSection + 6              77A64AFA 4 Bytes  [A8, FA, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenSection + B              77A64AFF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenThread + B              77A64B3F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenThreadToken + B          77A64B4F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenThreadTokenEx + 6        77A64B5A 4 Bytes  [68, FC, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtOpenThreadTokenEx + B        77A64B5F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtQueryAttributesFile + 6      77A64BEA 4 Bytes  [A8, F8, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtQueryAttributesFile + B      77A64BEF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtQueryFullAttributesFile + B  77A64C9F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtSetInformationFile + 6      77A6517A 4 Bytes  [28, F9, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtSetInformationFile + B      77A6517F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtSetInformationThread + 6    77A651CA 4 Bytes  [A8, FB, 06, 00]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtSetInformationThread + B    77A651CF 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ntdll.dll!NtUnmapViewOfSection + B      77A6546F 1 Byte  [E2]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] kernel32.dll!CreateProcessW              776C1BF3 5 Bytes  JMP 000800B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] kernel32.dll!CreateProcessA              776C1C28 5 Bytes  JMP 000800F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] kernel32.dll!OpenEventW                  776DC023 5 Bytes  JMP 00080070
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] kernel32.dll!CreateEventW                7770B85E 5 Bytes  JMP 00080030
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!DeleteObject                  772E5A37 5 Bytes  JMP 000B01B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetDeviceCaps                  772E617F 5 Bytes  JMP 000B03B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SelectObject                  772E62A0 5 Bytes  JMP 000B05F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetTextColor                  772E666B 5 Bytes  JMP 000B0A30
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetBkMode                      772E6716 5 Bytes  JMP 000B08F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!DeleteDC                      772E68CD 5 Bytes  JMP 000B0170
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetCurrentObject              772E6B58 5 Bytes  JMP 000B0370
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetStretchBltMode              772E7206 5 Bytes  JMP 000B06B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SaveDC                        772E75BA 5 Bytes  JMP 000B0570
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!RestoreDC                      772E7675 5 Bytes  JMP 000B0530
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!StretchDIBits                  772E78CF 5 Bytes  JMP 000B0770
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!ExtSelectClipRgn              772E79F8 5 Bytes  JMP 000B02F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SelectClipRgn                  772E7AF9 5 Bytes  JMP 000B05B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!MoveToEx                      772E7C33 5 Bytes  JMP 000B0470
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!Rectangle                      772E7EA9 5 Bytes  JMP 000B09B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetTextAlign                  772E82E0 5 Bytes  JMP 000B0D70
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetTextAlign                  772E85CB 5 Bytes  JMP 000B09F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!ExtTextOutW                    772E872B 5 Bytes  JMP 000B0970
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetTextMetricsW                772E8A81 5 Bytes  JMP 000B0E30
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!IntersectClipRect              772E8B64 5 Bytes  JMP 000B03F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetClipBox                    772E9071 5 Bytes  JMP 000B0330
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetICMMode                    772E94E7 5 Bytes  JMP 000B0DB0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!CreateDCW                      772EA91D 5 Bytes  JMP 000B00F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!CreateDCA                      772EAA49 5 Bytes  JMP 000B00B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!CreateICW                      772EB2E9 5 Bytes  JMP 000B0130
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetTextFaceW                  772EB637 5 Bytes  JMP 000B0D30
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetFontData                    772EBA6C 1 Byte  [E9]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetFontData                    772EBA6C 5 Bytes  JMP 000B0C70
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetTextExtentPoint32W          772EC01A 5 Bytes  JMP 000B0670
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetWorldTransform              772EC46A 5 Bytes  JMP 000B06F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!LineTo                        772EC65E 5 Bytes  JMP 000B0430
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetTextMetricsA                772ECCEB 5 Bytes  JMP 000B0DF0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!ExtTextOutA                    772F00A5 5 Bytes  JMP 000B0930
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetTextExtentPoint32A          772F0E58 5 Bytes  JMP 000B0630
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!ExtEscape                      772F22A7 5 Bytes  JMP 000B02B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!Escape                        772F27F1 5 Bytes  JMP 000B0270
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!ResetDCW                      772F3132 5 Bytes  JMP 000B0AB0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!EndPage                        772F375E 5 Bytes  JMP 000B0230
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetPolyFillMode                772F61D3 5 Bytes  JMP 000B0B30
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SetMiterLimit                  772F62E2 5 Bytes  JMP 000B0B70
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetTextFaceA                  772FF489 5 Bytes  JMP 000B0CF0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!GetGlyphOutlineW              7730A537 5 Bytes  JMP 000B0CB0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!CreateScalableFontResourceW    7730C993 5 Bytes  JMP 000B0BB0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!AddFontResourceW              7730CD9B 5 Bytes  JMP 000B0BF0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!RemoveFontResourceW            7730D231 5 Bytes  JMP 000B0C30
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!AbortDoc                      77312E7F 5 Bytes  JMP 000B0030
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!EndDoc                        77313293 5 Bytes  JMP 000B01F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!StartPage                      7731337E 5 Bytes  JMP 000B0730
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!StartDocW                      77313E62 5 Bytes  JMP 000B07F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!BeginPath                      7731461D 5 Bytes  JMP 000B0830
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!SelectClipPath                77314674 5 Bytes  JMP 000B0AF0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!CloseFigure                    773146CF 5 Bytes  JMP 000B0070
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!EndPath                        77314726 5 Bytes  JMP 000B0A70
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!StrokePath                    77314958 5 Bytes  JMP 000B07B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!FillPath                      773149E4 5 Bytes  JMP 000B0870
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!PolylineTo                    77314E4D 5 Bytes  JMP 000B04F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!PolyBezierTo                  77314EDD 5 Bytes  JMP 000B04B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] GDI32.dll!PolyDraw                      77314F8E 5 Bytes  JMP 000B08B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!SetCursor                    7712D37D 5 Bytes  JMP 000C0530
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!RegisterClipboardFormatW      7712D6AC 1 Byte  [E9]
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!RegisterClipboardFormatW      7712D6AC 5 Bytes  JMP 000C02B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!ActivateKeyboardLayout        7713478C 5 Bytes  JMP 000C04F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!IsWindowVisible              7713878A 7 Bytes  JMP 000C06B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!MonitorFromWindow            771388D4 7 Bytes  JMP 000C0630
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!ScreenToClient                77138C56 7 Bytes  JMP 000C0670
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetClientRect                77138F0D 7 Bytes  JMP 000C05B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetParent                    771390AA 7 Bytes  JMP 000C06F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!RegisterClipboardFormatA      7713A111 5 Bytes  JMP 000C02F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!PostMessageW                  7713A175 5 Bytes  JMP 000C05F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!MapWindowPoints              7713A30D 5 Bytes  JMP 000C0570
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetClipboardFormatNameA      7713A552 5 Bytes  JMP 000C0270
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetOpenClipboardWindow        771426A6 5 Bytes  JMP 000C03F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!SetClipboardViewer            7714BA2D 5 Bytes  JMP 000C04B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!IsClipboardFormatAvailable    7714C2E3 5 Bytes  JMP 000C00F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!CloseClipboard                7714C2F7 5 Bytes  JMP 000C00B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!OpenClipboard                7714C31D 5 Bytes  JMP 000C0070
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetTopWindow                  7714CE0A 7 Bytes  JMP 000C0730
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetClipboardSequenceNumber    7714D8B7 5 Bytes  JMP 000C0330
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!ChangeClipboardChain          7714DF83 5 Bytes  JMP 000C0430
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!CountClipboardFormats        77150048 5 Bytes  JMP 000C01F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetClipboardOwner            771526EF 5 Bytes  JMP 000C0370
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!SetClipboardData              77166410 5 Bytes  JMP 000C0170
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!EnumClipboardFormats          77166D16 5 Bytes  JMP 000C01B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!SetCursorPos                  77166FB2 5 Bytes  JMP 000C0770
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetClipboardData              7716715A 5 Bytes  JMP 000C0030
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetClipboardFormatNameW      7716A99F 5 Bytes  JMP 000C0230
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!EmptyClipboard                7718398B 5 Bytes  JMP 000C0130
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetClipboardViewer            771839ED 5 Bytes  JMP 000C0470
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] USER32.dll!GetPriorityClipboardFormat    77183AEF 5 Bytes  JMP 000C03B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!FreeContextBuffer            760F2D83 5 Bytes  JMP 000E00F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!DeleteSecurityContext        760F2F18 5 Bytes  JMP 000E0270
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!FreeCredentialsHandle        760F3598 5 Bytes  JMP 000E0130
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!EncryptMessage              760F3745 5 Bytes  JMP 000E01F0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!DecryptMessage              760F3813 5 Bytes  JMP 000E0230
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!InitializeSecurityContextA  760F87DF 5 Bytes  JMP 000E0170
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!AcquireCredentialsHandleA    760F8A43 5 Bytes  JMP 000E0030
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!QueryContextAttributesA      760F8E77 5 Bytes  JMP 000E0070
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!ApplyControlToken            760FDE4F 5 Bytes  JMP 000E01B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] Secur32.dll!QueryCredentialsAttributesA  760FE052 5 Bytes  JMP 000E00B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ole32.dll!OleGetClipboard                773F74C9 5 Bytes  JMP 000F00B0
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ole32.dll!OleSetClipboard                774211E3 5 Bytes  JMP 000F0030
.text  C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe[2060] ole32.dll!OleIsCurrentClipboard          7742A8F9 5 Bytes  JMP 000F0070
.text  C:\Program Files\Mozilla Firefox\firefox.exe[4060] ntdll.dll!LdrLoadDll                                              77A29378 5 Bytes  JMP 661DF920 C:\Program Files\Mozilla Firefox\xul.dll
.text  C:\Program Files\Mozilla Firefox\firefox.exe[4060] kernel32.dll!HeapSetInformation + 26                              776EA8B0 7 Bytes  JMP 661E40F6 C:\Program Files\Mozilla Firefox\xul.dll
.text  C:\Program Files\Mozilla Firefox\firefox.exe[4060] kernel32.dll!LockResource + C                                    77706ACB 7 Bytes  JMP 669A329A C:\Program Files\Mozilla Firefox\xul.dll
.text  C:\Program Files\Mozilla Firefox\firefox.exe[4060] kernel32.dll!VirtualAllocEx + 54                                  7770AF50 7 Bytes  JMP 669A32BD C:\Program Files\Mozilla Firefox\xul.dll
.text  C:\Program Files\Mozilla Firefox\firefox.exe[4060] GDI32.dll!SetStretchBltMode + 256                                772E745C 7 Bytes  JMP 669A321B C:\Program Files\Mozilla Firefox\xul.dll
.text  C:\Program Files\Mozilla Firefox\plugin-container.exe[5536] USER32.dll!GetWindowInfo                                7713428E 5 Bytes  JMP 66535F7C C:\Program Files\Mozilla Firefox\xul.dll
.text  C:\Program Files\Mozilla Firefox\plugin-container.exe[5536] USER32.dll!SetMenuItemBitmaps + 71                      771414EE 7 Bytes  JMP 6652F95F C:\Program Files\Mozilla Firefox\xul.dll

---- Registry - GMER 2.1 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                   
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                              0xC4 0x79 0xAE 0xB3 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                           
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x28 0xE9 0x9D 0x2A ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                     
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0xCB 0x13 0x9A 0x60 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)               
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                  0xC4 0x79 0xAE 0xB3 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)       
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x28 0xE9 0x9D 0x2A ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) 
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xCB 0x13 0x9A 0x60 ...

---- EOF - GMER 2.1 ----

aharonov 18.11.2013 23:14
Hi,

die Funde von Avira sind irrelevant. Und der versteckte Treiber war ebenfalls harmlos.
Noch eine Kontrolle:


Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


JoDark 19.11.2013 22:59
Super, danke. Hier das neue Log:

Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.11.19.10

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Melanie :: MELANIE-PC [Administrator]

19.11.2013 22:21:37
mbam-log-2013-11-19 (22-21-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225835
Laufzeit: 8 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 5
HKCU\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Daten: 0X2O1C0R2R1R -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (PUP.Optional.Aartemis) -> Bösartig: (C:\Program Files\Internet Explorer\iexplore.exe hxxp://aartemis.com/?type=sc&ts=1384534717&from=cor&uid=WDCXWD2500JS-00MHB0_WD-WCANK787568975689) Gut: (iexplore.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Bösartig: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Gut: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 8
C:\Users\Melanie\AppData\Roaming\DigitalSite\UpdateProc (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\BonanzaDealsLive\Update (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\BonanzaDealsLive\Update\Log (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Melanie\AppData\Local\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Melanie\AppData\Local\BonanzaDealsLive\CrashReports (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\BonanzaDealsLive\CrashReports (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 8
C:\Users\Melanie\AppData\Local\Temp\is1590112554\1075200_stp\rcpsetup_adppi4_adppi4.exe (PUP.Optional.RegCleanerPro) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Melanie\AppData\Local\Temp\is1590112554\1075250_stp\bd.exe (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Melanie\AppData\Local\Temp\is1590112554\7700837_stp\rcpsetup_adppi4_adppi4.exe (PUP.Optional.RegCleanerPro) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Melanie\AppData\Local\Temp\is1590112554\7700907_stp\bd.exe (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Melanie\AppData\Roaming\DigitalSite\UpdateProc\config.dat (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Melanie\AppData\Roaming\DigitalSite\UpdateProc\prod.dat (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\BonanzaDealsLive\Update\Log\BonanzaDealsLive.log (PUP.Optional.BonanzaDeals.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

aharonov 20.11.2013 14:36
Alles in Ordnung.


Schritt 1

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:
  • Besuche diese Seite von Adobe.
  • Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
  • Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
  1. Starte defogger und drücke den Button Re-enable.
  2. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
  3. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
    • Schliesse alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
  4. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.




>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
  • Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
  • Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
  • Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
  • Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Wenn du ein kommerzielles Programm kaufen möchtest, kann ich dir Emsisoft Anti-Malware empfehlen (die Freeware-Version davon reicht aber nicht, denn die hat keinen Hintergrundwächter). Bevorzugst du ein kostenloses Produkt, dann ist Avast! Free Antivirus eine gute Alternative.
    Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
  • Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
  • Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
  • Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
  • Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
  • NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
  • Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
  • Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
  • Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
  • Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
  • Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
  • Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
  • Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
  • Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
  • Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:
  • Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
  • Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
  • Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
  • Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
  • Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

JoDark 21.11.2013 16:53
Erstmal vielen Dank für die Hilfe, ich denke das Ganze hat meinen PC allgemein deutlich "entmistet". Ich habe den Virenscanner nochmal laufen lassen und der versteckte Treiber ist immernoch vorhanden (ich kann das Log auch gerne noch posten). Hast du noch eine weitere Idee?

aharonov 21.11.2013 16:58
Zitat:
Ich habe den Virenscanner nochmal laufen lassen und der versteckte Treiber ist immernoch vorhanden (ich kann das Log auch gerne noch posten). Hast du noch eine weitere Idee?
Da ist keine weitere Idee nötig, es ist ja schon gelöst.
Wie gesagt: Das ist der Emulatortreiber, der als versteckt gemeldet wird, der ist nicht bösartig.
Durch den Einsatz von defogger wurde dieser deaktiviert, so dass Avira nichts dergleichen mehr angezeigt hat. Anschliessend hast du ihn durch das Re-Enablen mit defogger wieder gestartet und Avira meldet ihn deshalb wieder. Es ist alles in Ordnung.

JoDark 23.11.2013 14:25
Achso, dann ist alles gut. Dann vielen Dank nochmal! :-)

aharonov 23.11.2013 15:23
Freut mich, dass wir helfen konnten. :abklatsch:

Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131