Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA-/Bundestrojaner aber kein Sperrschirm dafür Fehler beim booten (https://www.trojaner-board.de/146824-bka-bundestrojaner-kein-sperrschirm-dafuer-fehler-beim-booten.html)

Horsem4n 28.12.2013 19:52
BKA-/Bundestrojaner aber kein Sperrschirm dafür Fehler beim booten
 
Guten Tag,

beim surfen im WWW bin ich auf diese Seite gekommen, die einen zum zahlen auffordert. Lies sich so nicht mehr schließen, also wollte ich es im Task-Manager schließen. Dann kam zusätzlich aber noch eine Meldung das eine App versucht eine .dll-Datei (Name weiß ich nicht mehr genau r...32.dll oder sowas ähnliches) zu ändern. Die Meldung mit der .dll-Datei kam immer wieder, also habe ich immer auf nicht ändern geklickt, aber irgendwann kam ich auf ändern und nun spinnt einiges.

Ich hatte den Trojaner davor schon mal gehabt und bekam ihn so weit ich das erkenne auch mit Malwarebytes, Antivir und Adwcleaner weg, da keinerlei Links mit Zahlungsaufforderungen oder ähnliche Änderungen passiert waren. Damals kam ich aber auch nicht bei der .dll-Datei auf Ja-Ändern als diese Meldung kam.

Aktuell hatte ich schon Funde mit Malwarebyte und Antivir und habe diese gelöscht. Aber beim Systemstart kommt immer eine Meldung "Server kann nicht ausgeführt werden" mit einem Verweis auf eine Datei unter "C:/...Proagram..." irgendwas komisches mit Zahlen und Buchstaben.jss oder so. Bei dieser Meldung lässt sich dann nur "Wiederholen" oder "Wechseln zu" klicken. Irgendwann verschwindet die Meldung beim wegklicken aber, beim klicken der anderen beiden Optionen passiert nämlich nix. Danach öffnet sich nach etwar 5 Minuten der Windows Explorer in einem Fenster. Bzw. er versucht zu laden.



Die Funde waren:



C:\ProgramData\1t2gjzcl.jss (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mein Name\AppData\Local\Temp\1t2gjzcl.jss (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mein Name\AppData\Local\Temp\Low\0852.dll (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.



Die Datei 'C:\ProgramData\lczjg2t1.opx'
enthielt einen Virus oder unerwünschtes Programm 'TR/Reveton.V.48' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a787d1a.qua' verschoben!

In der Datei 'C:\ProgramData\lczjg2t1.opx'
wurde ein Virus oder unerwünschtes Programm 'TR/Reveton.V.48' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern



Es kann sein, dass es sich bei der Datei die bei Systemstart irgendwie "vermisst" oder kaputt ist um den Fund "1t2gjzcl.jss" handelt. Gelöscht habe ich alles zwar und finden tut auch nichts mehr und Meldungen die zum zahlen auffordern kommen auch nicht. Aber Irgendwie lässt sich der Netzwerksicherheitsdienst nicht starten und diese Meldungen nach Systemstart eben.

Backuppunkt habe ich keinen.

Wie soll ich weiter verfahren?

:dankeschoen:

aharonov 28.12.2013 20:03
Hallo,

mach bitte einen FRST-Scan:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


Horsem4n 28.12.2013 20:56
Ok, hier sind die Logs:



FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-12-2013 01
Ran by Mein Name (administrator) on RECHNER on 28-12-2013 20:06:16
Running from C:\Users\Mein Name\Desktop
Windows 8 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

ATTENTION: If processes are not listed WMI should be repaired.


==================== Processes (Whitelisted) =================


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDVCPL] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13192848 2012-08-20] (Realtek Semiconductor)
HKLM\...\Run: [lxczbmgr.exe] - C:\Program Files (x86)\Lexmark 1200 Series\LXCZbmgr.exe [74672 2007-02-08] (Lexmark International, Inc.)
HKLM-x32\...\Run: [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [277504 2012-08-16] (Intel Corporation)
HKLM-x32\...\Run: [CLMLServer_For_P2G8] - C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe [111120 2012-06-08] (CyberLink)
HKLM-x32\...\Run: [CLVirtualDrive] - C:\Program Files (x86)\CyberLink\Power2Go8\VirtualDrive.exe [491120 2012-07-20] (CyberLink Corp.)
HKLM-x32\...\Run: [RemoteControl10] - C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [93296 2012-07-13] (CyberLink Corp.)
HKLM-x32\...\Run: [BDRegion] - C:\Program Files (x86)\CyberLink\Shared files\brs.exe [181208 2013-01-15] (cyberlink)
HKLM-x32\...\Run: [FaxCenterServer] - C:\Program Files (x86)\Lexmark Fax Solutions\fm3032.exe [295856 2007-02-08] ()
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-18] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM\...\Policies\Explorer: [ConfirmFileDelete] 1
HKCU\...\Run: [Power2GoExpress8] - NA
Startup: C:\Users\Mein Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lczjg2t1.lnk
ShortcutTarget: lczjg2t1.lnk -> C:\PROGRA~3\1t2gjzcl.jss (No File)

==================== Internet (Whitelisted) ====================

ProxyEnable: Internet Explorer proxy is enabled.
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo13.msn.com
SearchScopes: HKCU - {86428D88-71E0-41F3-93F0-CAAC30BCEA8B} URL = hxxp://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MALNJS
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  No File
Handler-x32: http\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: http\oledb - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: https\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: https\oledb - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: ipp\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: msdaipp\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: msdaipp\oledb - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] Meine Ip

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-18] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-12-01] (Avira Operations GmbH & Co. KG)
S4 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-18] (Avira Operations GmbH & Co. KG)
S2 CLKMSVC10_38F51D56; C:\Program Files (x86)\CyberLink\PowerDVD10\NavFilter\kmsvc.exe [247768 2013-01-15] (CyberLink)
R2 CyberLink PowerDVD 10 MS Monitor Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSMonitorService.exe [70952 2011-04-13] (CyberLink)
R2 CyberLink PowerDVD 10 MS Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSServer.exe [312616 2011-04-13] (CyberLink)
R2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [128896 2012-07-18] (Intel Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [165760 2012-07-18] (Intel Corporation)
R2 lxcz_device; C:\windows\system32\lxczcoms.exe [566192 2007-02-08] ( )
R2 lxcz_device; C:\windows\SysWow64\lxczcoms.exe [537520 2007-02-08] ( )
R2 MBAMScheduler; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [16048 2013-07-02] (Microsoft Corporation)
S2 Winmgmt; C:\ProgramData\lczjg2t1.zvv [62052 2013-12-28] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [131576 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\system32\DRIVERS\avkmgr.sys [28600 2013-12-01] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\system32\DRIVERS\avnetflt.sys [84720 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 CLVirtualDrive; C:\Windows\system32\DRIVERS\CLVirtualDrive.sys [92536 2012-06-25] (CyberLink)
R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation)
S3 RTL8192cu; C:\Windows\system32\DRIVERS\rtwlanu.sys [1576080 2012-08-07] (Realtek Semiconductor Corporation                          )
S3 RtlWlanu; C:\Windows\system32\DRIVERS\rtwlanu.sys [1576080 2012-08-07] (Realtek Semiconductor Corporation                          )

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-12-28 20:06 - 2013-12-28 20:08 - 00007194 _____ C:\Users\Mein Name\Desktop\FRST.txt
2013-12-28 20:05 - 2013-12-28 20:05 - 01931176 _____ (Farbar) C:\Users\Mein Name\Desktop\FRST64.exe
2013-12-28 20:05 - 2013-12-28 20:05 - 00000000 ____D C:\FRST
2013-12-28 16:45 - 2013-12-28 16:45 - 00000797 _____ C:\windows\setupact.log
2013-12-28 16:45 - 2013-12-28 16:45 - 00000000 _____ C:\windows\setuperr.log
2013-12-28 16:14 - 2013-12-28 16:14 - 00000806 _____ C:\windows\PFRO.log
2013-12-28 15:57 - 2013-12-28 15:57 - 00000285 _____ C:\ProgramData\lczjg2t1.reg
2013-12-28 15:56 - 2013-12-28 15:57 - 95025368 ____T C:\ProgramData\lczjg2t1.fee
2013-12-28 15:56 - 2013-12-28 15:56 - 00062052 ____T (Microsoft Corporation) C:\ProgramData\lczjg2t1.zvv
2013-12-28 15:56 - 2013-12-28 15:56 - 00000000 _____ C:\ProgramData\lczjg2t1.odd
2013-12-27 17:12 - 2013-12-27 17:12 - 02436168 _____ C:\windows\system32\FNTCACHE.DAT
2013-12-27 17:10 - 2013-12-27 17:10 - 01233962 _____ C:\Users\Mein Name\Desktop\adwcleaner_3.016.exe
2013-12-27 15:44 - 2013-12-28 18:44 - 00096676 _____ C:\windows\WindowsUpdate.log
2013-12-11 19:19 - 2013-12-11 19:19 - 00000000 ____D C:\windows\ERUNT
2013-12-11 19:16 - 2013-12-28 18:32 - 00000000 ____D C:\AdwCleaner
2013-12-11 19:15 - 2013-12-11 19:15 - 01034531 _____ (Thisisu) C:\Users\Mein Name\Desktop\JRT_6.0.8.exe
2013-12-11 00:29 - 2013-10-25 07:19 - 02241536 _____ (Microsoft Corporation) C:\windows\system32\wininet.dll
2013-12-11 00:29 - 2013-10-25 07:19 - 01365504 _____ (Microsoft Corporation) C:\windows\system32\urlmon.dll
2013-12-11 00:29 - 2013-10-25 07:19 - 00915968 _____ (Microsoft Corporation) C:\windows\system32\uxtheme.dll
2013-12-11 00:29 - 2013-10-25 07:19 - 00051712 _____ (Microsoft Corporation) C:\windows\system32\ie4uinit.exe
2013-12-11 00:29 - 2013-10-25 07:18 - 19271168 _____ (Microsoft Corporation) C:\windows\system32\mshtml.dll
2013-12-11 00:29 - 2013-10-25 07:18 - 00603136 _____ (Microsoft Corporation) C:\windows\system32\msfeeds.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 15404032 _____ (Microsoft Corporation) C:\windows\system32\ieframe.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 03959808 _____ (Microsoft Corporation) C:\windows\system32\jscript9.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 02648576 _____ (Microsoft Corporation) C:\windows\system32\iertutil.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 00855552 _____ (Microsoft Corporation) C:\windows\system32\jscript.dll
2013-12-11 00:29 - 2013-10-25 05:45 - 01767936 _____ (Microsoft Corporation) C:\windows\SysWOW64\wininet.dll
2013-12-11 00:29 - 2013-10-25 05:44 - 14356992 _____ (Microsoft Corporation) C:\windows\SysWOW64\mshtml.dll
2013-12-11 00:29 - 2013-10-25 05:44 - 01140736 _____ (Microsoft Corporation) C:\windows\SysWOW64\urlmon.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 13761536 _____ (Microsoft Corporation) C:\windows\SysWOW64\ieframe.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 02877952 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript9.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 02049024 _____ (Microsoft Corporation) C:\windows\SysWOW64\iertutil.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 00690688 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 00493056 _____ (Microsoft Corporation) C:\windows\SysWOW64\msfeeds.dll
2013-12-11 00:28 - 2013-11-23 07:43 - 00420864 _____ (Microsoft Corporation) C:\windows\system32\WMPhoto.dll
2013-12-11 00:28 - 2013-11-23 06:05 - 00368640 _____ (Microsoft Corporation) C:\windows\SysWOW64\WMPhoto.dll
2013-12-11 00:28 - 2013-11-07 00:18 - 04036608 _____ (Microsoft Corporation) C:\windows\system32\win32k.sys
2013-12-11 00:28 - 2013-11-01 06:38 - 00312320 _____ (Microsoft Corporation) C:\windows\system32\msieftp.dll
2013-12-11 00:28 - 2013-11-01 04:49 - 00273408 _____ (Microsoft Corporation) C:\windows\SysWOW64\msieftp.dll
2013-12-11 00:28 - 2013-10-19 06:45 - 00062976 _____ (Microsoft Corporation) C:\windows\system32\imagehlp.dll
2013-12-11 00:28 - 2013-10-19 05:04 - 00059392 _____ (Microsoft Corporation) C:\windows\SysWOW64\imagehlp.dll
2013-12-11 00:28 - 2013-10-10 10:32 - 00115712 _____ (Microsoft Corporation) C:\windows\SysWOW64\cscript.exe
2013-12-11 00:28 - 2013-10-10 10:30 - 00162304 _____ (Microsoft Corporation) C:\windows\SysWOW64\scrobj.dll
2013-12-11 00:28 - 2013-10-10 10:30 - 00156160 _____ (Microsoft Corporation) C:\windows\SysWOW64\scrrun.dll
2013-12-11 00:28 - 2013-10-10 10:24 - 00143872 _____ (Microsoft Corporation) C:\windows\system32\wshom.ocx
2013-12-11 00:28 - 2013-10-10 10:23 - 00146944 _____ (Microsoft Corporation) C:\windows\system32\cscript.exe
2013-12-11 00:28 - 2013-10-10 10:22 - 00222720 _____ (Microsoft Corporation) C:\windows\system32\scrobj.dll
2013-12-11 00:28 - 2013-10-10 10:22 - 00194048 _____ (Microsoft Corporation) C:\windows\system32\scrrun.dll
2013-12-11 00:28 - 2013-10-09 02:33 - 00059416 _____ (Microsoft Corporation) C:\windows\system32\wuauclt.exe
2013-12-11 00:28 - 2013-10-08 23:30 - 00628736 _____ (Microsoft Corporation) C:\windows\SysWOW64\wuapi.dll
2013-12-11 00:28 - 2013-10-08 23:30 - 00126976 _____ (Microsoft Corporation) C:\windows\SysWOW64\wuwebv.dll
2013-12-11 00:28 - 2013-10-08 23:30 - 00084992 _____ (Microsoft Corporation) C:\windows\SysWOW64\wudriver.dll
2013-12-11 00:28 - 2013-10-08 23:30 - 00035328 _____ (Microsoft Corporation) C:\windows\SysWOW64\wuapp.exe
2013-12-11 00:28 - 2013-10-08 23:28 - 00040448 _____ (Microsoft Corporation) C:\windows\system32\wuapp.exe
2013-12-11 00:28 - 2013-10-08 23:27 - 03279872 _____ (Microsoft Corporation) C:\windows\system32\wuaueng.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 01622016 _____ (Microsoft Corporation) C:\windows\system32\wucltux.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00773120 _____ (Microsoft Corporation) C:\windows\system32\wuapi.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00252928 _____ (Microsoft Corporation) C:\windows\system32\WUSettingsProvider.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00175104 _____ (Microsoft Corporation) C:\windows\system32\storewuauth.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00142848 _____ (Microsoft Corporation) C:\windows\system32\wuwebv.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00099328 _____ (Microsoft Corporation) C:\windows\system32\wudriver.dll
2013-12-11 00:28 - 2013-10-05 07:10 - 00285016 _____ (Microsoft Corporation) C:\windows\system32\Drivers\spaceport.sys
2013-12-11 00:28 - 2013-10-03 23:09 - 00385528 _____ C:\windows\system32\ApnDatabase.xml
2013-12-11 00:28 - 2013-10-02 03:50 - 00447320 _____ (Microsoft Corporation) C:\windows\system32\Drivers\USBHUB3.SYS
2013-12-11 00:28 - 2013-09-28 06:48 - 00778752 _____ (Microsoft Corporation) C:\windows\system32\oleaut32.dll
2013-12-11 00:28 - 2013-09-28 04:58 - 00551424 _____ (Microsoft Corporation) C:\windows\SysWOW64\oleaut32.dll
2013-12-11 00:28 - 2013-09-28 04:35 - 00288768 _____ (Microsoft Corporation) C:\windows\system32\Drivers\portcls.sys
2013-12-11 00:28 - 2013-09-19 08:32 - 01455448 _____ (Microsoft Corporation) C:\windows\system32\Drivers\dxgkrnl.sys
2013-12-11 00:28 - 2013-08-30 06:19 - 00626688 _____ (Microsoft Corporation) C:\windows\system32\resutils.dll
2013-12-11 00:28 - 2013-08-30 06:18 - 00374784 _____ (Microsoft Corporation) C:\windows\system32\clusapi.dll
2013-12-11 00:28 - 2013-08-30 00:48 - 00488960 _____ (Microsoft Corporation) C:\windows\SysWOW64\resutils.dll
2013-12-11 00:28 - 2013-08-30 00:47 - 00302080 _____ (Microsoft Corporation) C:\windows\SysWOW64\clusapi.dll
2013-12-07 04:02 - 2013-12-07 04:02 - 00000000 ____D C:\Users\Mein Name\AppData\Roaming\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-07 04:01 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\mbam.sys
2013-12-07 03:58 - 2013-12-07 03:59 - 00000000 ____D C:\ProgramData\Oracle
2013-12-07 03:58 - 2013-12-07 03:58 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00175016 _____ (Oracle Corporation) C:\windows\SysWOW64\javaw.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00174504 _____ (Oracle Corporation) C:\windows\SysWOW64\java.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll
2013-12-07 03:58 - 2013-12-07 03:58 - 00000000 ____D C:\Program Files (x86)\Java

==================== One Month Modified Files and Folders =======

2013-12-28 20:08 - 2013-12-28 20:06 - 00007194 _____ C:\Users\Mein Name\Desktop\FRST.txt
2013-12-28 20:05 - 2013-12-28 20:05 - 01931176 _____ (Farbar) C:\Users\Mein Name\Desktop\FRST64.exe
2013-12-28 20:05 - 2013-12-28 20:05 - 00000000 ____D C:\FRST
2013-12-28 20:00 - 2012-07-26 09:12 - 00000000 ____D C:\windows\system32\sru
2013-12-28 19:08 - 2012-07-26 09:12 - 00000000 ____D C:\windows\system32\NDF
2013-12-28 18:51 - 2013-02-05 15:20 - 00000868 _____ C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
2013-12-28 18:51 - 2012-07-26 08:22 - 00000006 ____H C:\windows\Tasks\SA.DAT
2013-12-28 18:46 - 2012-07-26 06:26 - 00262144 ___SH C:\windows\system32\config\BBI
2013-12-28 18:44 - 2013-12-27 15:44 - 00096676 _____ C:\windows\WindowsUpdate.log
2013-12-28 18:37 - 2013-08-15 02:15 - 00000000 ____D C:\Users\Mein Name\AppData\Roaming\vlc
2013-12-28 18:32 - 2013-12-11 19:16 - 00000000 ____D C:\AdwCleaner
2013-12-28 17:29 - 2013-07-13 01:54 - 00000000 ____D C:\Users\Mein Name\AppData\Local\Cyberlink
2013-12-28 16:45 - 2013-12-28 16:45 - 00000797 _____ C:\windows\setupact.log
2013-12-28 16:45 - 2013-12-28 16:45 - 00000000 _____ C:\windows\setuperr.log
2013-12-28 16:14 - 2013-12-28 16:14 - 00000806 _____ C:\windows\PFRO.log
2013-12-28 15:57 - 2013-12-28 15:57 - 00000285 _____ C:\ProgramData\lczjg2t1.reg
2013-12-28 15:57 - 2013-12-28 15:56 - 95025368 ____T C:\ProgramData\lczjg2t1.fee
2013-12-28 15:56 - 2013-12-28 15:56 - 00062052 ____T (Microsoft Corporation) C:\ProgramData\lczjg2t1.zvv
2013-12-28 15:56 - 2013-12-28 15:56 - 00000000 _____ C:\ProgramData\lczjg2t1.odd
2013-12-28 15:56 - 2013-06-08 12:48 - 00000000 ___RD C:\Users\Mein Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2013-12-27 18:42 - 2012-07-26 09:12 - 00000000 ____D C:\windows\AUInstallAgent
2013-12-27 17:19 - 2012-11-05 17:36 - 00752930 _____ C:\windows\system32\perfh007.dat
2013-12-27 17:19 - 2012-11-05 17:36 - 00156156 _____ C:\windows\system32\perfc007.dat
2013-12-27 17:19 - 2012-07-26 08:28 - 01748838 _____ C:\windows\system32\PerfStringBackup.INI
2013-12-27 17:12 - 2013-12-27 17:12 - 02436168 _____ C:\windows\system32\FNTCACHE.DAT
2013-12-27 17:10 - 2013-12-27 17:10 - 01233962 _____ C:\Users\Mein Name\Desktop\adwcleaner_3.016.exe
2013-12-18 18:14 - 2013-09-07 23:16 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys
2013-12-18 18:14 - 2013-09-07 23:16 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys
2013-12-18 18:14 - 2013-09-07 23:16 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avnetflt.sys
2013-12-16 17:18 - 2013-07-30 13:59 - 00000000 ____D C:\windows\system32\MRT
2013-12-16 17:17 - 2012-11-05 18:14 - 90708896 _____ (Microsoft Corporation) C:\windows\system32\MRT.exe
2013-12-12 21:07 - 2013-02-05 18:49 - 00000000 ____D C:\ProgramData\CyberLink
2013-12-11 20:43 - 2012-07-26 09:12 - 00000000 ____D C:\windows\rescache
2013-12-11 20:32 - 2013-06-08 22:01 - 00003600 _____ C:\windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3836196981-1851603888-1777358661-1002
2013-12-11 19:29 - 2012-07-26 09:12 - 00000000 ____D C:\windows\system32\SecureBootUpdates
2013-12-11 19:19 - 2013-12-11 19:19 - 00000000 ____D C:\windows\ERUNT
2013-12-11 19:15 - 2013-12-11 19:15 - 01034531 _____ (Thisisu) C:\Users\Mein Name\Desktop\JRT_6.0.8.exe
2013-12-11 03:01 - 2012-07-26 06:38 - 00000000 ____D C:\windows\system32\oobe
2013-12-07 10:30 - 2013-02-05 15:20 - 00000870 _____ C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job
2013-12-07 04:02 - 2013-12-07 04:02 - 00000000 ____D C:\Users\Mein Name\AppData\Roaming\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-07 03:59 - 2013-12-07 03:58 - 00000000 ____D C:\ProgramData\Oracle
2013-12-07 03:58 - 2013-12-07 03:58 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00175016 _____ (Oracle Corporation) C:\windows\SysWOW64\javaw.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00174504 _____ (Oracle Corporation) C:\windows\SysWOW64\java.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll
2013-12-07 03:58 - 2013-12-07 03:58 - 00000000 ____D C:\Program Files (x86)\Java
2013-12-04 01:53 - 2013-07-11 17:33 - 00694240 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerApp.exe
2013-12-04 01:53 - 2013-07-11 17:33 - 00078304 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-12-01 07:10 - 2013-09-07 23:16 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys

Files to move or delete:
====================
C:\ProgramData\lczjg2t1.reg


Some content of TEMP:
====================
C:\Users\Mein Name\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-28 13:49

==================== End Of Log ============================
--- --- ---

--- --- ---

--- --- ---




Addition
Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 28-12-2013 01
Ran by Mein Name at 2013-12-28 20:08:55
Running from C:\Users\Mein Name\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================


==================== Installed Programs ======================

7-Zip 9.20 (x32)
ABBYY FineReader 6.0 Sprint (x32 Version: 6.00.1926.41617)
Adobe Anchor Service CS3 (x32 Version: 1.0)
Adobe Asset Services CS3 (x32 Version: 3)
Adobe Bridge CS3 (x32 Version: 2)
Adobe Bridge Start Meeting (x32 Version: 1.0)
Adobe Camera Raw 4.0 (x32 Version: 4.0)
Adobe CMaps (x32 Version: 1.0)
Adobe Color - Photoshop Specific (x32 Version: 1.0)
Adobe Color Common Settings (x32 Version: 1.0)
Adobe Color EU Extra Settings (x32 Version: 1.0)
Adobe Color JA Extra Settings (x32 Version: 1.0)
Adobe Color NA Recommended Settings (x32 Version: 1.0)
Adobe Default Language CS3 (x32 Version: 1.0)
Adobe Device Central CS3 (x32 Version: 1.0)
Adobe ExtendScript Toolkit 2 (x32 Version: 2.0)
Adobe Fonts All (x32 Version: 1.0)
Adobe Help Viewer CS3 (x32 Version: 1)
Adobe Linguistics CS3 (x32 Version: 3.0.0)
Adobe PDF Library Files (x32 Version: 8.0)
Adobe Setup (x32 Version: 1.0)
Adobe Stock Photos CS3 (x32 Version: 1.5)
Adobe Type Support (x32 Version: 1.0)
Adobe Update Manager CS3 (x32 Version: 5.1.0)
Adobe Version Cue CS3 Client (x32 Version: 3)
Adobe WinSoft Linguistics Plugin (x32 Version: 1.0)
Adobe XMP Panels CS3 (x32 Version: 1.0)
Avira Free Antivirus (x32 Version: 14.0.2.286)
Battle.net (x32)
CCleaner (Version: 4.04)
CyberLink LabelPrint 2.5 (x32 Version: 2.5.3624)
CyberLink MediaEspresso 6.5 (x32 Version: 6.5.3718_45957)
CyberLink Power2Go 8 (x32 Version: 8.0.0.1920)
CyberLink PowerDVD 10 (x32 Version: 10.0.4915.52)
CyberLink PowerDVD Copy 1.5 (x32 Version: 1.5.2715b)
CyberLink PowerRecover (Version: 5.7.0.0913)
CyberLink PowerRecover (x32 Version: 5.7.0.0913)
D3DX10 (x32 Version: 15.4.2368.0902)
Fotogalerie (x32 Version: 16.4.3505.0912)
Fotogalerija (x32 Version: 16.4.3505.0912)
Fotogalleri (x32 Version: 16.4.3505.0912)
Fotogalleriet (x32 Version: 16.4.3505.0912)
Fotoğraf Galerisi (x32 Version: 16.4.3505.0912)
Fotótár (x32 Version: 16.4.3505.0912)
Galeria de Fotografias (x32 Version: 16.4.3505.0912)
Galería de fotos (x32 Version: 16.4.3505.0912)
Galeria fotografii (x32 Version: 16.4.3505.0912)
Galerie de photos (x32 Version: 16.4.3505.0912)
Intel(R) Control Center (x32 Version: 1.2.1.1008)
Intel(R) Manageability Engine Firmware Recovery Agent (x32 Version: 1.0.0.36354)
Intel(R) Management Engine Components (x32 Version: 8.1.0.1252)
Intel(R) Rapid Storage Technology (x32 Version: 11.5.4.1001)
Intel® Trusted Connect Service Client (Version: 1.24.388.1)
Java 7 Update 25 (64-bit) (Version: 7.0.250)
Java 7 Update 45 (x32 Version: 7.0.450)
Java Auto Updater (x32 Version: 2.1.9.8)
Lexmark 1200 Series
Lexmark Fax-Lösungen
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300)
Mediathek (x32 Version: 1.4.0)
Medion Home Cinema 10 (x32 Version: 10.0)
Medion Home Cinema 10 (x32 Version: 10.1924)
Microsoft Application Error Reporting (Version: 12.0.6015.5000)
Microsoft Office (x32 Version: 15.0.4454.1510)
Microsoft Silverlight (x32 Version: 4.1.10329.0)
Microsoft SQL Server 2005 Compact Edition [ENU] (x32 Version: 3.1.0000)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.59193)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (Version: 10.0.40219)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219)
Microsoft Word 2000 (x32 Version: 9.00.2816)
Movie Maker (x32 Version: 16.4.3505.0912)
MSVCRT (x32 Version: 15.4.2862.0708)
MSVCRT110 (x32 Version: 16.4.1108.0727)
MSVCRT110_amd64 (Version: 16.4.1109.0912)
MSXML 4.0 SP3 Parser (KB2758694) (x32 Version: 4.30.2117.0)
NVIDIA Control Panel 306.14 (Version: 306.14)
NVIDIA Graphics Driver 306.14 (Version: 306.14)
NVIDIA HD Audio Driver 1.3.18.0 (Version: 1.3.18.0)
NVIDIA Install Application (Version: 2.1002.85.551)
NVIDIA PhysX (x32 Version: 9.12.0807)
NVIDIA PhysX System Software 9.12.0807 (Version: 9.12.0807)
NVIDIA Update 1.10.8 (Version: 1.10.8)
NVIDIA Update Components (Version: 1.10.8)
PDF Settings (x32 Version: 1.0)
Photo Common (x32 Version: 16.4.3505.0912)
Photo Gallery (x32 Version: 16.4.3505.0912)
Podstawowe programy Windows Live (x32 Version: 16.4.3505.0912)
Raccolta foto (x32 Version: 16.4.3505.0912)
Realtek Ethernet Controller Driver (x32 Version: 8.3.730.2012)
Realtek High Definition Audio Driver (x32 Version: 6.0.1.6710)
Steam (x32 Version: 1.0.0.0)
Valokuvavalikoima (x32 Version: 16.4.3505.0912)
VLC media player 2.1.1 (x32 Version: 2.1.1)
Windows Live (x32 Version: 16.4.3505.0912)
Windows Live Communications Platform (x32 Version: 16.4.3505.0912)
Windows Live Essentials (x32 Version: 16.4.3505.0912)
Windows Live Installer (x32 Version: 16.4.3505.0912)
Windows Live Photo Common (x32 Version: 16.4.3505.0912)
Windows Live PIMT Platform (x32 Version: 16.4.3505.0912)
Windows Live SOXE (x32 Version: 16.4.3505.0912)
Windows Live SOXE Definitions (x32 Version: 16.4.3505.0912)
Windows Live Temel Parçalar (x32 Version: 16.4.3505.0912)
Windows Live UX Platform (x32 Version: 16.4.3505.0912)
Windows Live UX Platform Language Pack (x32 Version: 16.4.3505.0912)
Windows Liven peruspaketti (x32 Version: 16.4.3505.0912)
Συλλογή φωτογραφιών (x32 Version: 16.4.3505.0912)

==================== Restore Points  =========================

Could not list Restore Points. Check WMI.


==================== Hosts content: ==========================

2012-07-26 06:26 - 2012-07-26 06:26 - 00000824 ____A C:\windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {1AAFF332-5C62-4558-9991-DAA649C4C9C5} - System32\Tasks\Microsoft\Windows\Sysmain\WsSwapAssessmentTask => Rundll32.exe sysmain.dll,PfSvWsSwapAssessmentTask
Task: {23A5D8BE-9196-40EB-BD89-794398B2B073} - System32\Tasks\Microsoft\Windows\WS\WSRefreshBannedAppsListTask => Rundll32.exe WSClient.dll,RefreshBannedAppsList
Task: {29A11537-43A3-45E8-BA26-86BD3C4D1813} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe [2012-04-16] (Intel Corporation)
Task: {A72208BF-7A49-4FB8-B684-252375F3443A} - System32\Tasks\Microsoft\Windows\WS\License Validation => Rundll32.exe WSClient.dll,WSpTLR licensing
Task: {B6B8E46D-CF15-4CAF-BFAA-747ED420AED9} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe [2012-04-16] (Intel Corporation)
Task: {C6A88F2D-53D2-4805-9D69-443738A1847C} - System32\Tasks\Microsoft\Windows\ApplicationData\CleanupTemporaryState => Rundll32.exe Windows.Storage.ApplicationData.dll,CleanupTemporaryState
Task: {CC1254E9-FDFD-4F70-BE6D-9164E39E8216} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2013-07-22] (Piriform Ltd)
Task: {D3974CC0-0EF1-4BC1-968F-201B2248B238} - System32\Tasks\Microsoft\Windows\Setup\Windows Upgrade Notification Task => C:\Windows\System32\NotificationUI.exe [2013-08-16] (Microsoft Corporation)
Task: {D3EE1ACD-EE13-46B3-B4E8-54490E9A0B1A} - System32\Tasks\Microsoft\Windows\Setup\Pre-staged GDR Notification => C:\Windows\System32\NotificationUI.exe [2013-08-16] (Microsoft Corporation)
Task: {EBF06DEC-4228-4813-AC0C-62821AE4E330} - System32\Tasks\Microsoft\Windows\Application Experience\StartupAppTask => Rundll32.exe Startupscan.dll,SusRunTask
Task: C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe
Task: C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe

==================== Loaded Modules (whitelisted) =============


==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Could not list Devices. Check WMI.


==================== Event log errors: =========================

Application errors:
==================
Error: (12/28/2013 08:19:03 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x174c
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 08:17:02 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x1778
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 08:14:56 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x154c
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 08:12:55 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0xca4
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 08:10:55 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x15d8
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 08:08:55 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x16ac
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 08:06:17 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x14a0
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 07:11:29 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x1678
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 07:09:29 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x1434
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5

Error: (12/28/2013 07:07:28 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.2.9200.16420, Zeitstempel: 0x505a9a4e
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.2.9200.16451, Zeitstempel: 0x50988aa6
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000003811c
ID des fehlerhaften Prozesses: 0x1068
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3
Vollständiger Name des fehlerhaften Pakets: svchost.exe_Winmgmt4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: svchost.exe_Winmgmt5


System errors:
=============
Error: (12/28/2013 08:19:03 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Windows-Verwaltungsinstrumentation" wurde unerwartet beendet. Dies ist bereits 23 Mal passiert.

Error: (12/28/2013 08:19:02 PM) (Source: DCOM) (User: RECHNER)
Description: {8BC3F05E-D86B-11D0-A075-00C04FB68820}

Error: (12/28/2013 08:17:02 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Windows-Verwaltungsinstrumentation" wurde unerwartet beendet. Dies ist bereits 22 Mal passiert.

Error: (12/28/2013 08:16:55 PM) (Source: DCOM) (User: RECHNER)
Description: {8BC3F05E-D86B-11D0-A075-00C04FB68820}

Error: (12/28/2013 08:14:56 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Windows-Verwaltungsinstrumentation" wurde unerwartet beendet. Dies ist bereits 21 Mal passiert.

Error: (12/28/2013 08:14:55 PM) (Source: DCOM) (User: RECHNER)
Description: {8BC3F05E-D86B-11D0-A075-00C04FB68820}

Error: (12/28/2013 08:12:55 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Windows-Verwaltungsinstrumentation" wurde unerwartet beendet. Dies ist bereits 20 Mal passiert.

Error: (12/28/2013 08:12:55 PM) (Source: DCOM) (User: RECHNER)
Description: {8BC3F05E-D86B-11D0-A075-00C04FB68820}

Error: (12/28/2013 08:10:55 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Windows-Verwaltungsinstrumentation" wurde unerwartet beendet. Dies ist bereits 19 Mal passiert.

Error: (12/28/2013 08:10:55 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Anwendungserfahrung" wurde unerwartet beendet. Dies ist bereits 3 Mal passiert.


Microsoft Office Sessions:
=========================
Error: (12/28/2013 08:19:03 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c174c01cf0401ab478df4C:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dlle936dca3-6ff4-11e3-beb8-7427ea0deab5

Error: (12/28/2013 08:17:02 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c177801cf04016340c39aC:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dlla121c4d1-6ff4-11e3-beb8-7427ea0deab5

Error: (12/28/2013 08:14:56 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c154c01cf040117cc87f9C:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dll55a8c371-6ff4-11e3-beb8-7427ea0deab5

Error: (12/28/2013 08:12:55 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811cca401cf0400d0038f2aC:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dll0ddfcac0-6ff4-11e3-beb8-7427ea0deab5

Error: (12/28/2013 08:10:55 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c15d801cf0400650268f7C:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dllc63689f8-6ff3-11e3-beb8-7427ea0deab5

Error: (12/28/2013 08:08:55 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c16ac01cf040006af4c6bC:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dll7eab030a-6ff3-11e3-beb8-7427ea0deab5

Error: (12/28/2013 08:06:17 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c14a001cf03f89596d59aC:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dll208a1d97-6ff3-11e3-beb8-7427ea0deab5

Error: (12/28/2013 07:11:29 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c167801cf03f812986eb4C:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dll788430a9-6feb-11e3-beb8-7427ea0deab5

Error: (12/28/2013 07:09:29 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c143401cf03f7f32db449C:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dll30ed5316-6feb-11e3-beb8-7427ea0deab5

Error: (12/28/2013 07:07:28 PM) (Source: Application Error)(User: )
Description: svchost.exe_Winmgmt6.2.9200.16420505a9a4eKERNELBASE.dll6.2.9200.1645150988aa60eedfade000000000003811c106801cf03f7ab9e3bc7C:\windows\system32\svchost.exeC:\windows\system32\KERNELBASE.dlle95dda9a-6fea-11e3-beb8-7427ea0deab5


==================== Memory info ===========================

Percentage of memory in use: 22%
Total physical RAM: 16335.9 MB
Available physical RAM: 12726.33 MB
Total Pagefile: 18639.9 MB
Available Pagefile: 14266.5 MB
Total Virtual: 8192 MB
Available Virtual: 8191.78 MB

==================== Drives ================================

Drive c: (Boot) (Fixed) (Total:1801.3 GB) (Free:1429.04 GB) NTFS
Drive d: (Recover) (Fixed) (Total:60 GB) (Free:43.76 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 1863 GB) (Disk ID: 00000000)

Partition: GPT Partition Type
==================== End Of Log ============================

aharonov 28.12.2013 21:53
Weiter:


Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Ersetze im Fixskript unbedint "Mein Name" wieder durch den richtigen Usernamen!
Code:
C:\Users\Mein Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lczjg2t1.lnk
2013-12-28 15:57 - 2013-12-28 15:57 - 00000285 _____ C:\ProgramData\lczjg2t1.reg
2013-12-28 15:56 - 2013-12-28 15:57 - 95025368 ____T C:\ProgramData\lczjg2t1.fee
2013-12-28 15:56 - 2013-12-28 15:56 - 00062052 ____T (Microsoft Corporation) C:\ProgramData\lczjg2t1.zvv
2013-12-28 15:56 - 2013-12-28 15:56 - 00000000 _____ C:\ProgramData\lczjg2t1.odd
ProxyEnable: Internet Explorer proxy is enabled.
S2 Winmgmt; C:\ProgramData\lczjg2t1.zvv [62052 2013-12-28] (Microsoft Corporation)

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


Starte danach den Rechner neu.



Schritt 2


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Schritt 3

Starte noch einmal FRST.
  • Ändere keine der Voreinstellungen und drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Horsem4n 28.12.2013 22:03
Schritt 1 erledigt, Log hier:

Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 28-12-2013 01
Ran by Mein Name at 2013-12-28 21:59:44 Run:1
Running from C:\Users\Mein Name\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\Mein Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lczjg2t1.lnk
2013-12-28 15:57 - 2013-12-28 15:57 - 00000285 _____ C:\ProgramData\lczjg2t1.reg
2013-12-28 15:56 - 2013-12-28 15:57 - 95025368 ____T C:\ProgramData\lczjg2t1.fee
2013-12-28 15:56 - 2013-12-28 15:56 - 00062052 ____T (Microsoft Corporation) C:\ProgramData\lczjg2t1.zvv
2013-12-28 15:56 - 2013-12-28 15:56 - 00000000 _____ C:\ProgramData\lczjg2t1.odd
ProxyEnable: Internet Explorer proxy is enabled.
S2 Winmgmt; C:\ProgramData\lczjg2t1.zvv [62052 2013-12-28] (Microsoft Corporation)
*****************

C:\Users\Mein Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lczjg2t1.lnk => Moved successfully.
C:\ProgramData\lczjg2t1.reg => Moved successfully.
C:\ProgramData\lczjg2t1.fee => Moved successfully.
C:\ProgramData\lczjg2t1.zvv => Moved successfully.
C:\ProgramData\lczjg2t1.odd => Moved successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => Value deleted successfully.
Winmgmt => Service restored successfully.

==== End of Fixlog ====
Solange reboot ich mal und mache den nächsten Punkt.

aharonov 28.12.2013 23:33
Ok soweit. :)

Horsem4n 29.12.2013 00:08
Erstmal einmal

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=201e9f2d94dec240a30d61076509cb3d
# engine=16433
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-12-28 10:11:08
# local_time=2013-12-28 11:11:08 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.2.9200 NT
# compatibility_mode=1799 16775165 100 94 18052 9676774 285 0
# compatibility_mode=5893 16776574 100 94 11637883 33437056 0 0
# scanned=272326
# found=1
# cleaned=0
# scan_time=3472
sh=08488084049A727FE73EEC72643287F20649D6B8 ft=1 fh=82b1e846bb9c8804 vn="a variant of Win32/Adware.CiDHelp application" ac=I fn="C:\Users\Mein Name\Desktop\DT\ED\Msger Progs\MsgPlusLive-482.exe"
Hm, dieser Fund hat mit meinem aktuellen Problem sicher nichts zu tun. Vor Jahren hatte ich diesen Messenger Add-on ständig genutz und nie Probleme damit und Funde gab es über die Jahre mit verschiendenen Scannern usw auch nie. Die Datei ist schon ein halbes Jahr auf diesem Rechner und wurde nie angerührt oder ausgeführt. Ist wohl beim rüberziehen einer alten Festplatte mitgewandert :balla: Aber wie erwähnt, ist ein halbes Jahr her und hatte noch nie Probleme gemacht und angerührt hatte ich sie auch nicht. Step 3 is coming.

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-12-2013 01
Ran by Mein Name (administrator) on RECHNER on 28-12-2013 23:55:05
Running from C:\Users\Mein Name\Desktop\virz
Windows 8 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Apple Computer, Inc.) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
(CyberLink) C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSMonitorService.exe
(CyberLink) C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSServer.exe
(Intel(R) Corporation) C:\Program Files\Intel\iCLS Client\HeciServer.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe
( ) C:\Windows\System32\lxczcoms.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
(Microsoft Corporation) C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4406.1205_x64__8wekyb3d8bbwe\LiveComm.exe
(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(CyberLink) C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe
(CyberLink Corp.) C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe
(cyberlink) C:\Program Files (x86)\CyberLink\Shared files\brs.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDVCPL] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13192848 2012-08-20] (Realtek Semiconductor)
HKLM\...\Run: [lxczbmgr.exe] - C:\Program Files (x86)\Lexmark 1200 Series\LXCZbmgr.exe [74672 2007-02-08] (Lexmark International, Inc.)
HKLM-x32\...\Run: [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [277504 2012-08-16] (Intel Corporation)
HKLM-x32\...\Run: [CLMLServer_For_P2G8] - C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe [111120 2012-06-08] (CyberLink)
HKLM-x32\...\Run: [CLVirtualDrive] - C:\Program Files (x86)\CyberLink\Power2Go8\VirtualDrive.exe [491120 2012-07-20] (CyberLink Corp.)
HKLM-x32\...\Run: [RemoteControl10] - C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [93296 2012-07-13] (CyberLink Corp.)
HKLM-x32\...\Run: [BDRegion] - C:\Program Files (x86)\CyberLink\Shared files\brs.exe [181208 2013-01-15] (cyberlink)
HKLM-x32\...\Run: [FaxCenterServer] - C:\Program Files (x86)\Lexmark Fax Solutions\fm3032.exe [295856 2007-02-08] ()
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [684600 2013-12-18] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM\...\Policies\Explorer: [ConfirmFileDelete] 1
HKCU\...\Run: [Power2GoExpress8] - NA

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo13.msn.com
SearchScopes: HKCU - {86428D88-71E0-41F3-93F0-CAAC30BCEA8B} URL = hxxp://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MALNJS
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  No File
Handler-x32: http\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: http\oledb - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: https\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: https\oledb - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: ipp\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: msdaipp\0x00000001 - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler-x32: msdaipp\oledb - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] Meine IP

==================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [440376 2013-12-18] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [440376 2013-12-01] (Avira Operations GmbH & Co. KG)
S4 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1011768 2013-12-18] (Avira Operations GmbH & Co. KG)
S2 CLKMSVC10_38F51D56; C:\Program Files (x86)\CyberLink\PowerDVD10\NavFilter\kmsvc.exe [247768 2013-01-15] (CyberLink)
R2 CyberLink PowerDVD 10 MS Monitor Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSMonitorService.exe [70952 2011-04-13] (CyberLink)
R2 CyberLink PowerDVD 10 MS Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSServer.exe [312616 2011-04-13] (CyberLink)
R2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [128896 2012-07-18] (Intel Corporation)
R2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [165760 2012-07-18] (Intel Corporation)
R2 lxcz_device; C:\windows\system32\lxczcoms.exe [566192 2007-02-08] ( )
R2 lxcz_device; C:\windows\SysWow64\lxczcoms.exe [537520 2007-02-08] ( )
R2 MBAMScheduler; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [16048 2013-07-02] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [131576 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\system32\DRIVERS\avkmgr.sys [28600 2013-12-01] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\system32\DRIVERS\avnetflt.sys [84720 2013-12-18] (Avira Operations GmbH & Co. KG)
R1 CLVirtualDrive; C:\Windows\system32\DRIVERS\CLVirtualDrive.sys [92536 2012-06-25] (CyberLink)
R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25928 2013-04-04] (Malwarebytes Corporation)
S3 RTL8192cu; C:\Windows\system32\DRIVERS\rtwlanu.sys [1576080 2012-08-07] (Realtek Semiconductor Corporation                          )
S3 RtlWlanu; C:\Windows\system32\DRIVERS\rtwlanu.sys [1576080 2012-08-07] (Realtek Semiconductor Corporation                          )

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-12-28 23:54 - 2013-12-28 23:55 - 00000000 ____D C:\Users\Mein Name\Desktop\virz
2013-12-28 20:58 - 2013-12-28 20:58 - 00043632 _____ C:\Users\Mein Name\AppData\Roaming\mbam.context.scan
2013-12-28 20:05 - 2013-12-28 20:05 - 00000000 ____D C:\FRST
2013-12-28 16:45 - 2013-12-28 16:45 - 00000797 _____ C:\windows\setupact.log
2013-12-28 16:45 - 2013-12-28 16:45 - 00000000 _____ C:\windows\setuperr.log
2013-12-28 16:14 - 2013-12-28 16:14 - 00000806 _____ C:\windows\PFRO.log
2013-12-27 17:12 - 2013-12-27 17:12 - 02436168 _____ C:\windows\system32\FNTCACHE.DAT
2013-12-27 15:44 - 2013-12-28 18:44 - 00096676 _____ C:\windows\WindowsUpdate.log
2013-12-11 19:19 - 2013-12-11 19:19 - 00000000 ____D C:\windows\ERUNT
2013-12-11 19:16 - 2013-12-28 18:32 - 00000000 ____D C:\AdwCleaner
2013-12-11 00:29 - 2013-10-25 07:19 - 02241536 _____ (Microsoft Corporation) C:\windows\system32\wininet.dll
2013-12-11 00:29 - 2013-10-25 07:19 - 01365504 _____ (Microsoft Corporation) C:\windows\system32\urlmon.dll
2013-12-11 00:29 - 2013-10-25 07:19 - 00915968 _____ (Microsoft Corporation) C:\windows\system32\uxtheme.dll
2013-12-11 00:29 - 2013-10-25 07:19 - 00051712 _____ (Microsoft Corporation) C:\windows\system32\ie4uinit.exe
2013-12-11 00:29 - 2013-10-25 07:18 - 19271168 _____ (Microsoft Corporation) C:\windows\system32\mshtml.dll
2013-12-11 00:29 - 2013-10-25 07:18 - 00603136 _____ (Microsoft Corporation) C:\windows\system32\msfeeds.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 15404032 _____ (Microsoft Corporation) C:\windows\system32\ieframe.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 03959808 _____ (Microsoft Corporation) C:\windows\system32\jscript9.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 02648576 _____ (Microsoft Corporation) C:\windows\system32\iertutil.dll
2013-12-11 00:29 - 2013-10-25 07:17 - 00855552 _____ (Microsoft Corporation) C:\windows\system32\jscript.dll
2013-12-11 00:29 - 2013-10-25 05:45 - 01767936 _____ (Microsoft Corporation) C:\windows\SysWOW64\wininet.dll
2013-12-11 00:29 - 2013-10-25 05:44 - 14356992 _____ (Microsoft Corporation) C:\windows\SysWOW64\mshtml.dll
2013-12-11 00:29 - 2013-10-25 05:44 - 01140736 _____ (Microsoft Corporation) C:\windows\SysWOW64\urlmon.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 13761536 _____ (Microsoft Corporation) C:\windows\SysWOW64\ieframe.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 02877952 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript9.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 02049024 _____ (Microsoft Corporation) C:\windows\SysWOW64\iertutil.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 00690688 _____ (Microsoft Corporation) C:\windows\SysWOW64\jscript.dll
2013-12-11 00:29 - 2013-10-25 05:43 - 00493056 _____ (Microsoft Corporation) C:\windows\SysWOW64\msfeeds.dll
2013-12-11 00:28 - 2013-11-23 07:43 - 00420864 _____ (Microsoft Corporation) C:\windows\system32\WMPhoto.dll
2013-12-11 00:28 - 2013-11-23 06:05 - 00368640 _____ (Microsoft Corporation) C:\windows\SysWOW64\WMPhoto.dll
2013-12-11 00:28 - 2013-11-07 00:18 - 04036608 _____ (Microsoft Corporation) C:\windows\system32\win32k.sys
2013-12-11 00:28 - 2013-11-01 06:38 - 00312320 _____ (Microsoft Corporation) C:\windows\system32\msieftp.dll
2013-12-11 00:28 - 2013-11-01 04:49 - 00273408 _____ (Microsoft Corporation) C:\windows\SysWOW64\msieftp.dll
2013-12-11 00:28 - 2013-10-19 06:45 - 00062976 _____ (Microsoft Corporation) C:\windows\system32\imagehlp.dll
2013-12-11 00:28 - 2013-10-19 05:04 - 00059392 _____ (Microsoft Corporation) C:\windows\SysWOW64\imagehlp.dll
2013-12-11 00:28 - 2013-10-10 10:32 - 00115712 _____ (Microsoft Corporation) C:\windows\SysWOW64\cscript.exe
2013-12-11 00:28 - 2013-10-10 10:30 - 00162304 _____ (Microsoft Corporation) C:\windows\SysWOW64\scrobj.dll
2013-12-11 00:28 - 2013-10-10 10:30 - 00156160 _____ (Microsoft Corporation) C:\windows\SysWOW64\scrrun.dll
2013-12-11 00:28 - 2013-10-10 10:24 - 00143872 _____ (Microsoft Corporation) C:\windows\system32\wshom.ocx
2013-12-11 00:28 - 2013-10-10 10:23 - 00146944 _____ (Microsoft Corporation) C:\windows\system32\cscript.exe
2013-12-11 00:28 - 2013-10-10 10:22 - 00222720 _____ (Microsoft Corporation) C:\windows\system32\scrobj.dll
2013-12-11 00:28 - 2013-10-10 10:22 - 00194048 _____ (Microsoft Corporation) C:\windows\system32\scrrun.dll
2013-12-11 00:28 - 2013-10-09 02:33 - 00059416 _____ (Microsoft Corporation) C:\windows\system32\wuauclt.exe
2013-12-11 00:28 - 2013-10-08 23:30 - 00628736 _____ (Microsoft Corporation) C:\windows\SysWOW64\wuapi.dll
2013-12-11 00:28 - 2013-10-08 23:30 - 00126976 _____ (Microsoft Corporation) C:\windows\SysWOW64\wuwebv.dll
2013-12-11 00:28 - 2013-10-08 23:30 - 00084992 _____ (Microsoft Corporation) C:\windows\SysWOW64\wudriver.dll
2013-12-11 00:28 - 2013-10-08 23:30 - 00035328 _____ (Microsoft Corporation) C:\windows\SysWOW64\wuapp.exe
2013-12-11 00:28 - 2013-10-08 23:28 - 00040448 _____ (Microsoft Corporation) C:\windows\system32\wuapp.exe
2013-12-11 00:28 - 2013-10-08 23:27 - 03279872 _____ (Microsoft Corporation) C:\windows\system32\wuaueng.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 01622016 _____ (Microsoft Corporation) C:\windows\system32\wucltux.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00773120 _____ (Microsoft Corporation) C:\windows\system32\wuapi.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00252928 _____ (Microsoft Corporation) C:\windows\system32\WUSettingsProvider.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00175104 _____ (Microsoft Corporation) C:\windows\system32\storewuauth.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00142848 _____ (Microsoft Corporation) C:\windows\system32\wuwebv.dll
2013-12-11 00:28 - 2013-10-08 23:27 - 00099328 _____ (Microsoft Corporation) C:\windows\system32\wudriver.dll
2013-12-11 00:28 - 2013-10-05 07:10 - 00285016 _____ (Microsoft Corporation) C:\windows\system32\Drivers\spaceport.sys
2013-12-11 00:28 - 2013-10-03 23:09 - 00385528 _____ C:\windows\system32\ApnDatabase.xml
2013-12-11 00:28 - 2013-10-02 03:50 - 00447320 _____ (Microsoft Corporation) C:\windows\system32\Drivers\USBHUB3.SYS
2013-12-11 00:28 - 2013-09-28 06:48 - 00778752 _____ (Microsoft Corporation) C:\windows\system32\oleaut32.dll
2013-12-11 00:28 - 2013-09-28 04:58 - 00551424 _____ (Microsoft Corporation) C:\windows\SysWOW64\oleaut32.dll
2013-12-11 00:28 - 2013-09-28 04:35 - 00288768 _____ (Microsoft Corporation) C:\windows\system32\Drivers\portcls.sys
2013-12-11 00:28 - 2013-09-19 08:32 - 01455448 _____ (Microsoft Corporation) C:\windows\system32\Drivers\dxgkrnl.sys
2013-12-11 00:28 - 2013-08-30 06:19 - 00626688 _____ (Microsoft Corporation) C:\windows\system32\resutils.dll
2013-12-11 00:28 - 2013-08-30 06:18 - 00374784 _____ (Microsoft Corporation) C:\windows\system32\clusapi.dll
2013-12-11 00:28 - 2013-08-30 00:48 - 00488960 _____ (Microsoft Corporation) C:\windows\SysWOW64\resutils.dll
2013-12-11 00:28 - 2013-08-30 00:47 - 00302080 _____ (Microsoft Corporation) C:\windows\SysWOW64\clusapi.dll
2013-12-07 04:02 - 2013-12-07 04:02 - 00000000 ____D C:\Users\Mein Name\AppData\Roaming\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-07 04:01 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\mbam.sys
2013-12-07 03:58 - 2013-12-07 03:59 - 00000000 ____D C:\ProgramData\Oracle
2013-12-07 03:58 - 2013-12-07 03:58 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00175016 _____ (Oracle Corporation) C:\windows\SysWOW64\javaw.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00174504 _____ (Oracle Corporation) C:\windows\SysWOW64\java.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll
2013-12-07 03:58 - 2013-12-07 03:58 - 00000000 ____D C:\Program Files (x86)\Java

==================== One Month Modified Files and Folders =======

2013-12-28 23:55 - 2013-12-28 23:54 - 00000000 ____D C:\Users\Mein Name\Desktop\virz
2013-12-28 23:02 - 2012-07-26 09:12 - 00000000 ____D C:\windows\system32\sru
2013-12-28 21:59 - 2013-06-08 12:48 - 00000000 ___RD C:\Users\Mein Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2013-12-28 21:33 - 2013-02-05 15:20 - 00000868 _____ C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
2013-12-28 21:33 - 2012-07-26 08:22 - 00000006 ____H C:\windows\Tasks\SA.DAT
2013-12-28 21:29 - 2012-07-26 06:26 - 00262144 ___SH C:\windows\system32\config\BBI
2013-12-28 20:58 - 2013-12-28 20:58 - 00043632 _____ C:\Users\Mein Name\AppData\Roaming\mbam.context.scan
2013-12-28 20:05 - 2013-12-28 20:05 - 00000000 ____D C:\FRST
2013-12-28 19:08 - 2012-07-26 09:12 - 00000000 ____D C:\windows\system32\NDF
2013-12-28 18:44 - 2013-12-27 15:44 - 00096676 _____ C:\windows\WindowsUpdate.log
2013-12-28 18:32 - 2013-12-11 19:16 - 00000000 ____D C:\AdwCleaner
2013-12-28 17:29 - 2013-07-13 01:54 - 00000000 ____D C:\Users\Mein Name\AppData\Local\Cyberlink
2013-12-28 16:45 - 2013-12-28 16:45 - 00000797 _____ C:\windows\setupact.log
2013-12-28 16:45 - 2013-12-28 16:45 - 00000000 _____ C:\windows\setuperr.log
2013-12-28 16:14 - 2013-12-28 16:14 - 00000806 _____ C:\windows\PFRO.log
2013-12-27 18:42 - 2012-07-26 09:12 - 00000000 ____D C:\windows\AUInstallAgent
2013-12-27 17:19 - 2012-11-05 17:36 - 00752930 _____ C:\windows\system32\perfh007.dat
2013-12-27 17:19 - 2012-11-05 17:36 - 00156156 _____ C:\windows\system32\perfc007.dat
2013-12-27 17:19 - 2012-07-26 08:28 - 01748838 _____ C:\windows\system32\PerfStringBackup.INI
2013-12-27 17:12 - 2013-12-27 17:12 - 02436168 _____ C:\windows\system32\FNTCACHE.DAT
2013-12-18 18:14 - 2013-09-07 23:16 - 00131576 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys
2013-12-18 18:14 - 2013-09-07 23:16 - 00108440 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys
2013-12-18 18:14 - 2013-09-07 23:16 - 00084720 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avnetflt.sys
2013-12-16 17:18 - 2013-07-30 13:59 - 00000000 ____D C:\windows\system32\MRT
2013-12-16 17:17 - 2012-11-05 18:14 - 90708896 _____ (Microsoft Corporation) C:\windows\system32\MRT.exe
2013-12-12 21:07 - 2013-02-05 18:49 - 00000000 ____D C:\ProgramData\CyberLink
2013-12-11 20:43 - 2012-07-26 09:12 - 00000000 ____D C:\windows\rescache
2013-12-11 20:32 - 2013-06-08 22:01 - 00003600 _____ C:\windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-3836196981-1851603888-1777358661-1002
2013-12-11 19:29 - 2012-07-26 09:12 - 00000000 ____D C:\windows\system32\SecureBootUpdates
2013-12-11 19:19 - 2013-12-11 19:19 - 00000000 ____D C:\windows\ERUNT
2013-12-11 03:01 - 2012-07-26 06:38 - 00000000 ____D C:\windows\system32\oobe
2013-12-07 10:30 - 2013-02-05 15:20 - 00000870 _____ C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job
2013-12-07 04:02 - 2013-12-07 04:02 - 00000000 ____D C:\Users\Mein Name\AppData\Roaming\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-12-07 04:01 - 2013-12-07 04:01 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-12-07 03:59 - 2013-12-07 03:58 - 00000000 ____D C:\ProgramData\Oracle
2013-12-07 03:58 - 2013-12-07 03:58 - 00264616 _____ (Oracle Corporation) C:\windows\SysWOW64\javaws.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00175016 _____ (Oracle Corporation) C:\windows\SysWOW64\javaw.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00174504 _____ (Oracle Corporation) C:\windows\SysWOW64\java.exe
2013-12-07 03:58 - 2013-12-07 03:58 - 00096168 _____ (Oracle Corporation) C:\windows\SysWOW64\WindowsAccessBridge-32.dll
2013-12-07 03:58 - 2013-12-07 03:58 - 00000000 ____D C:\Program Files (x86)\Java
2013-12-04 01:53 - 2013-07-11 17:33 - 00694240 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerApp.exe
2013-12-04 01:53 - 2013-07-11 17:33 - 00078304 _____ (Adobe Systems Incorporated) C:\windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-12-01 07:10 - 2013-09-07 23:16 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys

Some content of TEMP:
====================
C:\Users\Mein Name\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-28 13:49

==================== End Of Log ============================
--- --- ---

--- --- ---

--- --- ---

aharonov 29.12.2013 18:01
Hallo,

Zitat:
Hm, dieser Fund hat mit meinem aktuellen Problem sicher nichts zu tun.
Ja und dieser Fund ist auch total harmlos. Nur ein bisschen Adware.

Wie läuft denn der Rechner jetzt? Welche Probleme sind noch vorhanden?

Horsem4n 29.12.2013 18:43
Hi,

also Funde hat es weder mit MBAM, noch mit AV, noch mit Adwcleaner.
Fehler kommen nach dem booten auf dem Desktop auch keine mehr und der Explorer scheint sich auch nicht mehr versuchen zu öffnen.
Das Wartungscenter scheint auch keine Probleme mehr zu haben.

Allerdings haben die drei Programme nach dem ich die oben genannten Schädlinge gelöscht hatte auch keine Funde mehr, aber dann fing die Spinnerei trotzdem an, trotz dass die Schädlinge gelöscht waren, aber es keine Funde mehr gab.

Wie kann ich nun sicher sein, dass nur weils wieder "normal" zu laufen scheint und keine Fehler etc. mehr kommen, auch alles wieder clean ist? :balla: Die Schritte von Dir, hatte ich alle abgearbeitet.

Vorhandene Probleme erkenne ich keine mehr, außer dass es mir nun zu ruhig ist. :D

aharonov 07.01.2014 15:32
Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
  1. Den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
  2. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
    • Schliesse alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
  3. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.




>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
  • Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
  • Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
  • Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
  • Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Wenn du ein kommerzielles Programm kaufen möchtest, kann ich dir Emsisoft Anti-Malware empfehlen (die Freeware-Version davon reicht aber nicht, denn die hat keinen Hintergrundwächter). Bevorzugst du ein kostenloses Produkt, dann ist Avast! Free Antivirus eine gute Alternative.
    Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
  • Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
  • Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
  • Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
  • Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
  • NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
  • Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
  • Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
  • Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
  • Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
  • Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
  • Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
  • Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
  • Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
  • Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:
  • Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
  • Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
  • Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
  • Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
  • Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131