Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Malwarebytes findet infizierte Dateien, die sich nicht entfernen lassen (https://www.trojaner-board.de/147406-malwarebytes-findet-infizierte-dateien-entfernen-lassen.html)

TomWSch 05.01.2014 22:52
Malwarebytes findet infizierte Dateien, die sich nicht entfernen lassen
 
Hallo,

ich wollte mir ein Video von myvideo.de auf dem Fernseher ansehen und habe daher versucht, den Freemake Video Download von der computerbild-Homepage herunterzuladen. Die Installation habe ich abgebrochen, da sie mir verdächtig erschien. Ein Full-Scan meines Rechners mit dem Kaspersky-Virenscanner hat nicht Negatives gefunden. Malwarebytes hat hingegen die drei Browser-Helper IeHelper, ChromeHelper und FirefoxHelper gefunden. Trotz Betätigen des "Entfernen"-Buttons bleiben Sie auf dem Rechner und werden beim nächsten Durchlauf von Malwarebytes wieder gefunden. Auch mit dem Windows-Explorer bzw. mit dem del-Kommando in der DOS-Box lassen sie sich nicht löschen.

Die Log-Datei von Malwarebytes lautet:
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.05.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
TomWSch :: HP-LIFEBOOKP-1 [Administrator]

05.01.2014 21:58:32
mbam-log-2014-01-05 (21-58-32).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211142
Laufzeit: 3 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\RHelpers\FirefoxHelper\FirefoxHelper.exe (PUP.Optional.SearchDonkey.A) -> 456 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 3
C:\ProgramData\RHelpers\ChromeHelper (PUP.Optional.Searchagent) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\FirefoxHelper (PUP.Optional.Searchagent) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\IeHelper (PUP.Optional.Searchagent) -> Keine Aktion durchgeführt.

Infizierte Dateien: 4
C:\ProgramData\RHelpers\FirefoxHelper\FirefoxHelper.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\ChromeHelper\ChromeHelper.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\IeHelper\IeHelper.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.
C:\Users\TomWSch\AppData\Local\Temp\Setup_DE_20131219.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.

(Ende)
Es wäre schön, wenn mir jemand helfen könnte.

Grüße
Tom

cosinus 05.01.2014 23:19
Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)



Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

TomWSch 06.01.2014 18:48
Hallo Cosinus,

vielen Dank, dass Du Dich um mein Problem kümmerst. Hier sind die Posts:

FRST.txt

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 05-01-2014
Ran by TomWSch (administrator) on HP-LIFEBOOKP-1 on 06-01-2014 18:36:53
Running from C:\Users\TomWSch\Desktop
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Star Finanz-Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(BillP Studios) C:\Program Files (x86)\BillP Studios\WinPatrol\WinPatrol.exe
(Dropbox, Inc.) C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(Dr. J. Rathlev, D-24222 Schwentinental) C:\Program Files (x86)\Personal Backup 5\Persbackup.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
(Updater) C:\ProgramData\Updater\updater.exe
(WatchDog) C:\ProgramData\RHelpers\FirefoxHelper\FirefoxHelper.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil64_11_9_900_170_ActiveX.exe


==================== Registry (Whitelisted) ==================

HKLM-x32\...\Run: [AVP] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [FreePDF Assistant] - C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2013-05-25] (shbox.de)
HKLM-x32\...\Run: [Updater] - C:\ProgramData\Updater\updater.exe [486264 2013-12-18] (Updater)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\klogon: C:\Windows\System32\klogon.dll (Kaspersky Lab ZAO)
HKCU\...\Run: [WinPatrol] - C:\Program Files (x86)\BillP Studios\WinPatrol\WinPatrol.exe [456768 2013-10-19] (BillP Studios)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Persbackup.lnk
ShortcutTarget: Persbackup.lnk -> C:\Program Files (x86)\Personal Backup 5\Persbackup.exe (Dr. J. Rathlev, D-24222 Schwentinental)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x6100EDFE1AF7CD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Evernote extension - {92EF2EAD-A7CE-4424-B0DB-499CF856608E} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 217.0.43.17 217.0.43.49

Chrome:
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

==================== Services (Whitelisted) =================

R2 AVP; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
R2 HPSLPSVC; C:\Users\TomWSch\AppData\Local\Temp\7zS24F0\HPSLPSVC64.DLL [1039360 2013-07-19] (Hewlett-Packard Co.)
R2 StarMoney 8.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
R2 StarMoney 9.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [663184 2013-10-11] (Star Finanz-Software Entwicklung und Vertriebs GmbH)

==================== Drivers (Whitelisted) ====================

R0 KL1; C:\Windows\System32\DRIVERS\kl1.sys [464176 2011-08-18] (Kaspersky Lab ZAO)
R1 kl2; C:\Windows\System32\DRIVERS\kl2.sys [13616 2011-08-18] (Kaspersky Lab ZAO)
R1 KLFLTDEV; C:\Windows\System32\DRIVERS\klfltdev.sys [58672 2012-04-03] (Kaspersky Lab)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [636720 2012-05-14] (Kaspersky Lab)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [32048 2011-09-01] (Kaspersky Lab ZAO)
S3 rstescu; C:\Windows\system32\drivers\rstescu.sys [607256 2011-03-25] (Intel Corporation)
S3 rstescu1; C:\Windows\system32\drivers\rstescu1.sys [607256 2011-03-25] (Intel Corporation)
R0 rstfltr; C:\Windows\System32\drivers\rstfltr.sys [22552 2011-03-25] (Intel Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-06 18:36 - 2014-01-06 18:37 - 00006643 _____ C:\Users\TomWSch\Desktop\FRST.txt
2014-01-06 18:36 - 2014-01-06 18:36 - 00000000 ____D C:\FRST
2014-01-06 18:34 - 2014-01-06 18:34 - 01931762 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\Updater
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\RHelpers
2014-01-04 13:42 - 2014-01-04 13:42 - 00002319 _____ C:\Users\TomWSch\Desktop\StarMoney 9.0 Commerzbank-Edition.lnk
2014-01-04 13:42 - 2014-01-04 13:42 - 00000000 ____D C:\ProgramData\StarMoney 9.0
2014-01-04 13:39 - 2014-01-05 21:40 - 00000000 ____D C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition
2013-12-29 16:27 - 2013-12-29 16:27 - 00000086 _____ C:\Users\TomWSch\AppData\Roaming\mbam.context.scan
2013-12-12 15:37 - 2013-11-26 12:54 - 23183360 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-12-12 15:37 - 2013-11-26 11:19 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-12-12 15:37 - 2013-11-26 11:18 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2013-12-12 15:37 - 2013-11-26 11:11 - 17112576 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-12-12 15:37 - 2013-11-26 10:48 - 00066048 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-12-12 15:37 - 2013-11-26 10:46 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2013-12-12 15:37 - 2013-11-26 10:41 - 02764288 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-12-12 15:37 - 2013-11-26 10:29 - 00053760 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-12-12 15:37 - 2013-11-26 10:27 - 00033792 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-12-12 15:37 - 2013-11-26 10:23 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-12-12 15:37 - 2013-11-26 10:21 - 00574976 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-12-12 15:37 - 2013-11-26 10:18 - 00139264 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-12-12 15:37 - 2013-11-26 10:18 - 00111616 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2013-12-12 15:37 - 2013-11-26 10:16 - 00708608 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2013-12-12 15:37 - 2013-11-26 09:57 - 00218624 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-12-12 15:37 - 2013-11-26 09:38 - 02166784 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-12-12 15:37 - 2013-11-26 09:38 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-12-12 15:37 - 2013-11-26 09:35 - 05769216 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-12-12 15:37 - 2013-11-26 09:32 - 00440832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-12-12 15:37 - 2013-11-26 09:28 - 00553472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2013-12-12 15:37 - 2013-11-26 09:16 - 04243968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-12-12 15:37 - 2013-11-26 09:02 - 01995264 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-12-12 15:37 - 2013-11-26 08:48 - 12996608 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-12-12 15:37 - 2013-11-26 08:32 - 01928192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-12-12 15:37 - 2013-11-26 08:26 - 11221504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-12-12 15:37 - 2013-11-26 08:07 - 02334208 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-12-12 15:37 - 2013-11-26 07:40 - 01395200 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-12-12 15:37 - 2013-11-26 07:34 - 00817664 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2013-12-12 15:37 - 2013-11-26 07:34 - 00703488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2013-12-12 15:37 - 2013-11-26 07:33 - 01820160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-12-12 15:37 - 2013-11-26 07:27 - 01157632 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-12-12 13:07 - 2013-11-12 03:23 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-12-12 13:07 - 2013-11-12 03:07 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tzres.dll
2013-12-12 13:07 - 2013-10-30 02:24 - 03155968 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-12-12 13:07 - 2013-10-19 03:18 - 00081408 _____ (Microsoft Corporation) C:\Windows\system32\imagehlp.dll
2013-12-12 13:07 - 2013-10-19 02:36 - 00159232 _____ (Microsoft Corporation) C:\Windows\SysWOW64\imagehlp.dll
2013-12-12 13:07 - 2013-10-12 03:32 - 00150016 _____ (Microsoft Corporation) C:\Windows\system32\wshom.ocx
2013-12-12 13:07 - 2013-10-12 03:31 - 00202752 _____ (Microsoft Corporation) C:\Windows\system32\scrrun.dll
2013-12-12 13:07 - 2013-10-12 03:04 - 00121856 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wshom.ocx
2013-12-12 13:07 - 2013-10-12 03:03 - 00163840 _____ (Microsoft Corporation) C:\Windows\SysWOW64\scrrun.dll
2013-12-12 13:07 - 2013-10-12 02:33 - 00168960 _____ (Microsoft Corporation) C:\Windows\system32\wscript.exe
2013-12-12 13:07 - 2013-10-12 02:33 - 00156160 _____ (Microsoft Corporation) C:\Windows\system32\cscript.exe
2013-12-12 13:07 - 2013-10-12 02:15 - 00141824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wscript.exe
2013-12-12 13:07 - 2013-10-12 02:15 - 00126976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cscript.exe
2013-12-12 13:07 - 2013-10-04 03:16 - 00116736 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\drmk.sys
2013-12-12 13:07 - 2013-10-04 02:36 - 00230400 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\portcls.sys

==================== One Month Modified Files and Folders =======

2014-01-06 18:37 - 2014-01-06 18:36 - 00006643 _____ C:\Users\TomWSch\Desktop\FRST.txt
2014-01-06 18:36 - 2014-01-06 18:36 - 00000000 ____D C:\FRST
2014-01-06 18:34 - 2014-01-06 18:34 - 01931762 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2014-01-06 18:10 - 2013-10-27 15:26 - 00000000 ____D C:\Users\TomWSch\AppData\Local\FreePDF_XP
2014-01-06 17:55 - 2013-01-16 14:14 - 01470319 _____ C:\Windows\WindowsUpdate.log
2014-01-06 17:47 - 2013-02-16 09:35 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-06 17:44 - 2013-01-27 16:09 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Dropbox
2014-01-06 17:44 - 2013-01-19 17:08 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2014-01-05 21:40 - 2014-01-04 13:39 - 00000000 ____D C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\Updater
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\RHelpers
2014-01-05 17:54 - 2013-01-20 17:10 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Mozilla
2014-01-05 17:50 - 2009-07-14 05:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-05 17:50 - 2009-07-14 05:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-04 18:16 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-04 18:15 - 2009-07-14 05:51 - 00045373 _____ C:\Windows\setupact.log
2014-01-04 18:15 - 2009-07-14 05:45 - 00415656 _____ C:\Windows\system32\FNTCACHE.DAT
2014-01-04 14:59 - 2013-01-26 11:12 - 00109232 _____ C:\Users\TomWSch\AppData\Local\GDIPFONTCACHEV1.DAT
2014-01-04 13:42 - 2014-01-04 13:42 - 00002319 _____ C:\Users\TomWSch\Desktop\StarMoney 9.0 Commerzbank-Edition.lnk
2014-01-04 13:42 - 2014-01-04 13:42 - 00000000 ____D C:\ProgramData\StarMoney 9.0
2014-01-04 13:40 - 2009-07-14 03:34 - 00017486 _____ C:\Windows\system32\Drivers\etc\services
2014-01-04 13:38 - 2013-03-24 14:35 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2014-01-02 20:50 - 2013-03-24 14:36 - 00000000 ____D C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition
2014-01-01 17:09 - 2013-01-20 18:49 - 00000000 ____D C:\Users\TomWSch\AppData\Local\Microsoft Help
2013-12-29 16:27 - 2013-12-29 16:27 - 00000086 _____ C:\Users\TomWSch\AppData\Roaming\mbam.context.scan
2013-12-17 17:33 - 2013-01-16 23:09 - 00643866 _____ C:\Windows\system32\perfh007.dat
2013-12-17 17:33 - 2013-01-16 23:09 - 00126394 _____ C:\Windows\system32\perfc007.dat
2013-12-17 17:33 - 2009-07-14 06:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-12-15 18:56 - 2013-09-13 17:20 - 00000000 ____D C:\Windows\system32\MRT
2013-12-15 18:53 - 2013-01-20 13:39 - 90708896 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-12-13 14:36 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-12-11 15:47 - 2013-02-16 09:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-12-11 15:47 - 2013-01-27 15:57 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-12-11 15:47 - 2013-01-27 15:57 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-12-09 17:00 - 2013-03-09 17:48 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\PersBackup5

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-31 10:47

==================== End Of Log ============================
--- --- ---



Addition.txt
Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 05-01-2014
Ran by TomWSch at 2014-01-06 18:37:59
Running from C:\Users\TomWSch\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Kaspersky Endpoint Security 8 für Windows (Enabled - Up to date) {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
AS: Kaspersky Endpoint Security 8 für Windows (Enabled - Up to date) {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Kaspersky Endpoint Security 8 für Windows (Enabled) {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}

==================== Installed Programs ======================

7-Zip 9.20 (x64 edition) (Version: 9.20.00.0 - Igor Pavlov)
Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.05) - Deutsch (x32 Version: 11.0.05 - Adobe Systems Incorporated)
Audacity 2.0.3 (x32 Version: 2.0.3 - Audacity Team)
CANON iMAGE GATEWAY MyCamera Download Plugin (x32 Version: 3.1.0.1 - Canon Inc.)
Canon MOV Decoder (x32 Version: 1.7.0.6 - Canon Inc.)
Canon Utilities CameraWindow DC 8 (x32 Version: 8.3.0.6 - Canon Inc.)
Canon Utilities CameraWindow Launcher (x32 Version: 7.5.0.2 - Canon Inc.)
Canon Utilities Movie Uploader for YouTube (x32 Version: 1.1.0.4 - Canon Inc.)
Canon Utilities MyCamera (x32 Version: 7.4.0.2 - Canon Inc.)
Canon Utilities PhotoStitch (x32 Version: 3.1.22.46 - Canon Inc.)
CDBurnerXP (x32 Version: 4.5.2.4291 - CDBurnerXP)
Dropbox (HKCU Version: 2.0.22 - Dropbox, Inc.)
ElsterFormular (x32 Version: 14.1.11318 - Landesfinanzdirektion Thüringen)
Evernote v. 5.0.2 (x32 Version: 5.0.2.1392 - Evernote Corp.)
FreeCommander 2009.02b (x32 Version: 2009.02 - Marek Jasinski)
FreeFileSync 5.11 (x32 Version: 5.11 - Zenju)
FreePDF (Remove only) (x32 Version:  - )
GPL Ghostscript (Version: 9.10 - Artifex Software Inc.)
Intel(R) Graphics Media Accelerator Driver (Version: 8.15.10.1930 - Intel Corporation)
Kaspersky Endpoint Security 8 für Windows (Version: 8.1.0.831 - "Kaspersky Lab")
LAME v3.99.3 (for Windows) (x32 Version:  - )
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300 - Malwarebytes Corporation)
Microsoft Office Access MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Excel MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Groove MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office InfoPath MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Office 64-bit Components 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office OneNote MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Outlook MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office PowerPoint MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (English) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (French) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (Italian) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proofing (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Publisher MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Shared 64-bit MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Shared MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Word MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161 - Microsoft Corporation)
MozBackup 1.5.1 (x32 Version:  - Pavel Cvrcek)
Mozilla Maintenance Service (x32 Version: 17.0.2 - Mozilla)
Mozilla Thunderbird 17.0.2 (x86 de) (x32 Version: 17.0.2 - Mozilla)
Paragon Partition Manager™ 12 Free (x32 Version: 90.00.0003 - Paragon Software)
Personal Backup 5.4 (x32 Version: 5.3 - J. Rathlev)
RedMon - Redirection Port Monitor (Version:  - )
RippMe (x32 Version: 3.04 - Lindy)
StarMoney (x32 Version: 3.0.2.50 - StarFinanz) Hidden
StarMoney (x32 Version: 4.0.2.34 - StarFinanz) Hidden
StarMoney 8.0 Commerzbank-Edition (x32 Version: 8.0 - Star Finanz GmbH)
StarMoney 9.0 Commerzbank-Edition (x32 Version: 9.0 - Star Finanz GmbH)
TagScanner 5.1.630 (x32 Version:  - Sergey Serkov)
Updater (x32 Version: 2.6.53 - Creative Island Media, LLC)
WinPatrol (Version: 29.0.2013 - BillP Studios)
XnView 1.99.6 (x32 Version: 1.99.6 - Gougelet Pierre-e)

==================== Restore Points  =========================

05-01-2014 19:27:07 Geplanter Prüfpunkt

==================== Hosts content: ==========================

2009-07-14 03:34 - 2013-10-21 18:56 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1      localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {5BBB019E-790D-408A-9070-32E1AFF8C76F} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-12-11] (Adobe Systems Incorporated)
Task: {ADE226E0-08E3-4001-BBAC-02083AC359C9} - System32\Tasks\Microsoft\Windows\WindowsBackup\AutomaticBackup => Rundll32.exe /d sdengin2.dll,ExecuteScheduledBackup
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2010-01-30 02:40 - 2010-01-30 02:40 - 04254560 _____ () C:\Program Files\Common Files\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF
2013-03-24 14:41 - 2011-01-13 11:44 - 00232800 _____ () C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\PATCHW32.dll
2014-01-04 13:41 - 2011-01-13 11:44 - 00232800 _____ () C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition\ouservice\PATCHW32.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 00283024 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\am_facade.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 01225104 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\enterprise_application_control.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 00430480 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\FileCategorizer.dll
2012-04-17 11:14 - 2012-04-17 11:14 - 00143760 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\sax_xml_parser.dll
2012-04-17 11:15 - 2012-04-17 11:15 - 00278928 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\device_control_task.ppl
2012-04-17 11:16 - 2012-04-17 11:16 - 00463248 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\WebControlTask.ppl
2012-04-17 11:13 - 2012-04-17 11:13 - 00262544 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\device_control.dll
2012-04-17 11:14 - 2012-04-17 11:14 - 00311696 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\network_services.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 00422288 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\categorizer_facade.dll
2013-11-01 10:53 - 2013-07-15 18:29 - 00620718 ____N () C:\Program Files (x86)\BillP Studios\WinPatrol\sqlite3.dll
2013-03-13 21:48 - 2013-03-13 21:48 - 24978944 _____ () C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\libcef.dll
2013-09-26 13:50 - 2013-09-26 13:50 - 00433664 _____ () C:\Program Files (x86)\Evernote\Evernote\libxml2.dll
2013-09-26 13:49 - 2013-09-26 13:49 - 00315392 _____ () C:\Program Files (x86)\Evernote\Evernote\libtidy.dll

==================== Alternate Data Streams (whitelisted) =========

AlternateDataStreams: C:\Boot.BAK:KAVICHS
AlternateDataStreams: C:\fpRedmon.log:KAVICHS
AlternateDataStreams: C:\SerialSync.txt:KAVICHS
AlternateDataStreams: C:\update.phone-setup.log:KAVICHS

==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Name: Fingerprint Sensor
Description: Fingerprint Sensor
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/05/2014 06:01:57 PM) (Source: Application Hang) (User: )
Description: Programm Groovestream.exe, Version 3.7.1.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 131c

Startzeit: 01cf0a366f167ebd

Endzeit: 16

Anwendungspfad: D:\Download\FreemakeVideoDownloader\Groovestream.exe

Berichts-ID: 11b60c52-762b-11e3-a661-001742f2b0eb

Error: (01/04/2014 06:16:52 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/29/2013 06:48:00 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/17/2013 05:39:01 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: StarMoney.exe, Version: 3.0.6.49, Zeitstempel: 0x52a19e9c
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18247, Zeitstempel: 0x521ea8e7
Ausnahmecode: 0xc0000374
Fehleroffset: 0x000ce753
ID des fehlerhaften Prozesses: 0x1fd0
Startzeit der fehlerhaften Anwendung: 0xStarMoney.exe0
Pfad der fehlerhaften Anwendung: StarMoney.exe1
Pfad des fehlerhaften Moduls: StarMoney.exe2
Berichtskennung: StarMoney.exe3

Error: (12/13/2013 08:55:53 AM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 02:25:50 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 11:20:33 AM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/30/2013 05:10:08 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/23/2013 00:31:39 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/14/2013 04:25:44 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


System errors:
=============
Error: (01/06/2014 05:44:11 PM) (Source: DCOM) (User: )
Description: {1A1F4206-0688-4E7F-BE03-D82EC69DF9A5}

Error: (01/05/2014 06:19:08 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (01/05/2014 05:47:17 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (01/04/2014 06:15:58 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎04.‎01.‎2014 um 18:13:54 unerwartet heruntergefahren.

Error: (01/04/2014 06:15:21 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden gelöscht, weil der Schattenkopiespeicher nicht rechtzeitig vergrößert wurde. Sie sollten die E/A-Last auf dem System verringern oder ein Schattenkopie-Speichervolume, von dem keine Schattenkopie erstellt wird, auswählen.

Error: (12/31/2013 01:22:22 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (12/31/2013 01:22:22 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (12/29/2013 06:46:59 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎29.‎12.‎2013 um 18:43:57 unerwartet heruntergefahren.

Error: (12/29/2013 06:46:43 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden gelöscht, weil der Schattenkopiespeicher nicht rechtzeitig vergrößert wurde. Sie sollten die E/A-Last auf dem System verringern oder ein Schattenkopie-Speichervolume, von dem keine Schattenkopie erstellt wird, auswählen.

Error: (12/18/2013 09:29:49 AM) (Source: Disk) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\DR8 gefunden.


Microsoft Office Sessions:
=========================
Error: (01/05/2014 06:01:57 PM) (Source: Application Hang)(User: )
Description: Groovestream.exe3.7.1.0131c01cf0a366f167ebd16D:\Download\FreemakeVideoDownloader\Groovestream.exe11b60c52-762b-11e3-a661-001742f2b0eb

Error: (01/04/2014 06:16:52 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/29/2013 06:48:00 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/17/2013 05:39:01 PM) (Source: Application Error)(User: )
Description: StarMoney.exe3.0.6.4952a19e9cntdll.dll6.1.7601.18247521ea8e7c0000374000ce7531fd001cefb460d12a056C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\app\StarMoney.exeC:\Windows\SysWOW64\ntdll.dllbb67a4ca-6739-11e3-ad1a-001742f2b0eb

Error: (12/13/2013 08:55:53 AM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 02:25:50 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 11:20:33 AM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/30/2013 05:10:08 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/23/2013 00:31:39 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/14/2013 04:25:44 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


CodeIntegrity Errors:
===================================
  Date: 2013-10-21 19:53:10.330
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-10-21 19:53:10.268
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Memory info ===========================

Percentage of memory in use: 54%
Total physical RAM: 4086.36 MB
Available physical RAM: 1868.48 MB
Total Pagefile: 8170.91 MB
Available Pagefile: 5892.93 MB
Total Virtual: 8192 MB
Available Virtual: 8191.8 MB

==================== Drives ================================

Drive c: (SYSTEM) (Fixed) (Total:78.58 GB) (Free:36.77 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATEN) (Fixed) (Total:70.46 GB) (Free:63.69 GB) NTFS
Drive f: (DATEN-2) (Fixed) (Total:596.17 GB) (Free:497.6 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: A2A7A2A7)
Partition 1: (Active) - (Size=79 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=70 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 596 GB) (Disk ID: 49962155)
Partition 1: (Active) - (Size=596 GB) - (Type=07 NTFS)

==================== End Of Log ============================
Grüße
Tom

cosinus 06.01.2014 21:42
Zitat:
Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation)
Windows 7 Professional Service Pack 1 (X64)
Professional Office und Windows? :wtf:
Ist das ein gewerblih genutzter Rechner?

TomWSch 07.01.2014 08:35
Nein

cosinus 07.01.2014 08:38
Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

TomWSch 07.01.2014 22:36
Hallo Cosinus,

habe mbar.exe laufen lassen. Die Ende-Nachrichten waren:
Congratulations, no cleanup is required.
Scan finished: No malware found!

Und hier ist die Logdatei:
Code:
Malwarebytes Anti-Rootkit BETA 1.07.0.1008
www.malwarebytes.org

Database version: v2014.01.07.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
TomWSch :: HP-LIFEBOOKP-1 [administrator]

07.01.2014 22:11:14
mbar-log-2014-01-07 (22-11-14).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 226047
Time elapsed: 18 minute(s), 20 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)
Grüße
Tom

cosinus 08.01.2014 13:37
Adware/Junkware/Toolbars entfernen


1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).




2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.




3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


TomWSch 08.01.2014 23:01
Hallo Cosinus,

bevor ich die Logs poste möchte ich kurz noch darauf hinweisen, dass seit heute Abend bei jedem Neustart des Rechners die folgende Abfrage kommt:
Die Benutzerkontensteuerung fragt, ob ich zulassen möchte, dass durch das folgende Programm von einem unbekannten Herausgeber Änderungen an diesem Computer vorgenommen werden.
Datei: Setup.exe
Beim Klick auf "Details anzeigen" wird der vollständige Pfad angezeigt
C:\users\TomWSch\AppData\Local\Temp\s2h4\Setup.exe /s
Das Verzeichnis s2h4 wird übrigens im Explorer nicht angezeigt.

Ich habe bisher dieses Programm nicht gestartet. Gehört es zu den Säuberungsprogrammen und muss daher ausgeführt werden, oder ist es evtl. ein Schädling?

Hier sind jetzt die Logs, wobei die Datei Addition.txt von FRST nicht neu erzeugt worden ist.

AdwCleaner[S0].txt
AdwCleaner Logfile:
Code:
# AdwCleaner v3.010 - Bericht erstellt am 23/10/2013 um 19:25:33
# Updated 20/10/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzername : TomWSch - HP-LIFEBOOKP-1
# Gestartet von : C:\Users\TomWSch\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Users\TomWSch\AppData\Roaming\OpenCandy

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-

0333EA26E113}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes

\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes

\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-

46D4-4A98-AF68-0333EA26E113}]
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68

-0333EA26E113}
Wert Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

[{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [ Browser ] *****

-\\ Internet Explorer v10.0.9200.16686

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Search

[Default_Search_URL]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Search

[SearchAssistant]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer

\SearchUrl [Default]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer

\SearchUrl [Default]

-\\ Google Chrome v

[ Datei : C:\Users\TomWSch\AppData\Local\Google\Chrome\User Data\Default

\preferences ]


*************************

AdwCleaner[R0].txt - [2617 octets] - [23/10/2013 19:22:54]
AdwCleaner[S0].txt - [1822 octets] - [23/10/2013 19:25:33]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1882 octets] ##########
--- --- ---
AdwCleaner Logfile:
Code:
# AdwCleaner v3.016 - Bericht erstellt am 08/01/2014 um 22:06:22
# Aktualisiert 23/12/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzername : TomWSch - HP-LIFEBOOKP-1
# Gestartet von : C:\Users\TomWSch\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\ProgramData\TubeDimmer

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Updater]
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\DynConIE

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.16428


-\\ Google Chrome v

[ Datei : C:\Users\TomWSch\AppData\Local\Google\Chrome\User Data\Default

\preferences ]


*************************

AdwCleaner[R0].txt - [3678 octets] - [23/10/2013 18:22:54]
AdwCleaner[S0].txt - [2870 octets] - [23/10/2013 18:25:33]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2930 octets] ##########
--- --- ---


JRT.txt
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.0 (01.07.2014:1)
OS: Windows 7 Professional x64
Ran by TomWSch on 08.01.2014 at 22:13:43,27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\AppDataLow\software\dynconie



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 08.01.2014 at 22:37:58,00
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
FRST.txt

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 08-01-2014 01
Ran by TomWSch (administrator) on HP-LIFEBOOKP-1 on 08-01-2014 22:43:20
Running from C:\Users\TomWSch\Desktop
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 11
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Star Finanz-Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(BillP Studios) C:\Program Files (x86)\BillP Studios\WinPatrol\WinPatrol.exe
(Updater) C:\ProgramData\Updater\updater.exe
(Dropbox, Inc.) C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(Dr. J. Rathlev, D-24222 Schwentinental) C:\Program Files (x86)\Personal Backup 5\Persbackup.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(shbox.de) C:\Program Files (x86)\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\Windows\splwow64.exe


==================== Registry (Whitelisted) ==================

HKLM-x32\...\Run: [AVP] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [FreePDF Assistant] - C:\Program Files (x86)\FreePDF_XP\fpassist.exe [373760 2013-05-25] (shbox.de)
HKLM-x32\...\Run: [Updater] - C:\ProgramData\Updater\updater.exe [486264 2013-12-18] (Updater)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\klogon: C:\Windows\System32\klogon.dll (Kaspersky Lab ZAO)
HKCU\...\Run: [WinPatrol] - C:\Program Files (x86)\BillP Studios\WinPatrol\WinPatrol.exe [456768 2013-10-19] (BillP Studios)
HKCU\...\Run: [Updater] - C:\ProgramData\Updater\updater.exe [486264 2013-12-18] (Updater)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Persbackup.lnk
ShortcutTarget: Persbackup.lnk -> C:\Program Files (x86)\Personal Backup 5\Persbackup.exe (Dr. J. Rathlev, D-24222 Schwentinental)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x6100EDFE1AF7CD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Evernote extension - {92EF2EAD-A7CE-4424-B0DB-499CF856608E} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 217.0.43.17 217.0.43.49

Chrome:
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

==================== Services (Whitelisted) =================

R2 AVP; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
R2 HPSLPSVC; C:\Users\TomWSch\AppData\Local\Temp\7zS24F0\HPSLPSVC64.DLL [1039360 2013-07-19] (Hewlett-Packard Co.)
R2 StarMoney 8.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
R2 StarMoney 9.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [663184 2013-10-11] (Star Finanz-Software Entwicklung und Vertriebs GmbH)

==================== Drivers (Whitelisted) ====================

R0 KL1; C:\Windows\System32\DRIVERS\kl1.sys [464176 2011-08-18] (Kaspersky Lab ZAO)
R1 kl2; C:\Windows\System32\DRIVERS\kl2.sys [13616 2011-08-18] (Kaspersky Lab ZAO)
R1 KLFLTDEV; C:\Windows\System32\DRIVERS\klfltdev.sys [58672 2012-04-03] (Kaspersky Lab)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [636720 2012-05-14] (Kaspersky Lab)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [32048 2011-09-01] (Kaspersky Lab ZAO)
S3 rstescu; C:\Windows\system32\drivers\rstescu.sys [607256 2011-03-25] (Intel Corporation)
S3 rstescu1; C:\Windows\system32\drivers\rstescu1.sys [607256 2011-03-25] (Intel Corporation)
R0 rstfltr; C:\Windows\System32\drivers\rstfltr.sys [22552 2011-03-25] (Intel Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-08 22:43 - 2014-01-08 22:43 - 00000000 ____D C:\Users\TomWSch\Desktop\FRST-OlderVersion
2014-01-08 22:37 - 2014-01-08 22:37 - 00000729 _____ C:\Users\TomWSch\Desktop\JRT.txt
2014-01-08 22:08 - 2014-01-08 22:08 - 00000000 ____D C:\ProgramData\TubeDimmer
2014-01-08 21:58 - 2014-01-08 21:58 - 01037068 _____ (Thisisu) C:\Users\TomWSch\Desktop\JRT.exe
2014-01-08 21:56 - 2014-01-08 21:57 - 01233962 _____ C:\Users\TomWSch\Desktop\adwcleaner.exe
2014-01-07 22:11 - 2014-01-07 22:30 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2014-01-07 22:11 - 2014-01-07 22:11 - 00117464 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2014-01-07 22:08 - 2014-01-07 22:30 - 00000000 ____D C:\Users\TomWSch\Desktop\mbar
2014-01-07 22:08 - 2014-01-07 22:09 - 00089304 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2014-01-07 22:06 - 2014-01-07 22:06 - 12582688 _____ (Malwarebytes Corp.) C:\Users\TomWSch\Desktop\mbar-1.07.0.1008.exe
2014-01-06 18:37 - 2014-01-06 18:40 - 00019324 _____ C:\Users\TomWSch\Desktop\Addition.txt
2014-01-06 18:36 - 2014-01-08 22:43 - 00006427 _____ C:\Users\TomWSch\Desktop\FRST.txt
2014-01-06 18:36 - 2014-01-08 22:43 - 00000000 ____D C:\FRST
2014-01-06 18:34 - 2014-01-08 22:43 - 01931770 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\Updater
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\RHelpers
2014-01-04 13:42 - 2014-01-04 13:42 - 00002319 _____ C:\Users\TomWSch\Desktop\StarMoney 9.0 Commerzbank-Edition.lnk
2014-01-04 13:42 - 2014-01-04 13:42 - 00000000 ____D C:\ProgramData\StarMoney 9.0
2014-01-04 13:39 - 2014-01-07 22:01 - 00000000 ____D C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition
2013-12-29 16:27 - 2013-12-29 16:27 - 00000086 _____ C:\Users\TomWSch\AppData\Roaming\mbam.context.scan
2013-12-12 15:37 - 2013-11-26 12:54 - 23183360 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-12-12 15:37 - 2013-11-26 11:19 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-12-12 15:37 - 2013-11-26 11:18 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2013-12-12 15:37 - 2013-11-26 11:11 - 17112576 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-12-12 15:37 - 2013-11-26 10:48 - 00066048 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-12-12 15:37 - 2013-11-26 10:46 - 00048640 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2013-12-12 15:37 - 2013-11-26 10:41 - 02764288 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-12-12 15:37 - 2013-11-26 10:29 - 00053760 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-12-12 15:37 - 2013-11-26 10:27 - 00033792 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-12-12 15:37 - 2013-11-26 10:23 - 02724864 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-12-12 15:37 - 2013-11-26 10:21 - 00574976 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-12-12 15:37 - 2013-11-26 10:18 - 00139264 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-12-12 15:37 - 2013-11-26 10:18 - 00111616 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2013-12-12 15:37 - 2013-11-26 10:16 - 00708608 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2013-12-12 15:37 - 2013-11-26 09:57 - 00218624 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-12-12 15:37 - 2013-11-26 09:38 - 02166784 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-12-12 15:37 - 2013-11-26 09:38 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-12-12 15:37 - 2013-11-26 09:35 - 05769216 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-12-12 15:37 - 2013-11-26 09:32 - 00440832 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-12-12 15:37 - 2013-11-26 09:28 - 00553472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9diag.dll
2013-12-12 15:37 - 2013-11-26 09:16 - 04243968 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-12-12 15:37 - 2013-11-26 09:02 - 01995264 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-12-12 15:37 - 2013-11-26 08:48 - 12996608 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-12-12 15:37 - 2013-11-26 08:32 - 01928192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-12-12 15:37 - 2013-11-26 08:26 - 11221504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-12-12 15:37 - 2013-11-26 08:07 - 02334208 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-12-12 15:37 - 2013-11-26 07:40 - 01395200 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-12-12 15:37 - 2013-11-26 07:34 - 00817664 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2013-12-12 15:37 - 2013-11-26 07:34 - 00703488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll
2013-12-12 15:37 - 2013-11-26 07:33 - 01820160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-12-12 15:37 - 2013-11-26 07:27 - 01157632 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-12-12 13:07 - 2013-11-12 03:23 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-12-12 13:07 - 2013-11-12 03:07 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\tzres.dll
2013-12-12 13:07 - 2013-10-30 02:24 - 03155968 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-12-12 13:07 - 2013-10-19 03:18 - 00081408 _____ (Microsoft Corporation) C:\Windows\system32\imagehlp.dll
2013-12-12 13:07 - 2013-10-19 02:36 - 00159232 _____ (Microsoft Corporation) C:\Windows\SysWOW64\imagehlp.dll
2013-12-12 13:07 - 2013-10-12 03:32 - 00150016 _____ (Microsoft Corporation) C:\Windows\system32\wshom.ocx
2013-12-12 13:07 - 2013-10-12 03:31 - 00202752 _____ (Microsoft Corporation) C:\Windows\system32\scrrun.dll
2013-12-12 13:07 - 2013-10-12 03:04 - 00121856 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wshom.ocx
2013-12-12 13:07 - 2013-10-12 03:03 - 00163840 _____ (Microsoft Corporation) C:\Windows\SysWOW64\scrrun.dll
2013-12-12 13:07 - 2013-10-12 02:33 - 00168960 _____ (Microsoft Corporation) C:\Windows\system32\wscript.exe
2013-12-12 13:07 - 2013-10-12 02:33 - 00156160 _____ (Microsoft Corporation) C:\Windows\system32\cscript.exe
2013-12-12 13:07 - 2013-10-12 02:15 - 00141824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wscript.exe
2013-12-12 13:07 - 2013-10-12 02:15 - 00126976 _____ (Microsoft Corporation) C:\Windows\SysWOW64\cscript.exe
2013-12-12 13:07 - 2013-10-04 03:16 - 00116736 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\drmk.sys
2013-12-12 13:07 - 2013-10-04 02:36 - 00230400 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\portcls.sys

==================== One Month Modified Files and Folders =======

2014-01-08 22:43 - 2014-01-08 22:43 - 00000000 ____D C:\Users\TomWSch\Desktop\FRST-OlderVersion
2014-01-08 22:43 - 2014-01-06 18:36 - 00006427 _____ C:\Users\TomWSch\Desktop\FRST.txt
2014-01-08 22:43 - 2014-01-06 18:36 - 00000000 ____D C:\FRST
2014-01-08 22:43 - 2014-01-06 18:34 - 01931770 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2014-01-08 22:41 - 2013-01-27 16:09 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Dropbox
2014-01-08 22:41 - 2013-01-19 17:08 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2014-01-08 22:40 - 2013-10-27 15:26 - 00000000 ____D C:\Users\TomWSch\AppData\Local\FreePDF_XP
2014-01-08 22:39 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-08 22:39 - 2009-07-14 05:51 - 00045541 _____ C:\Windows\setupact.log
2014-01-08 22:38 - 2013-01-16 14:14 - 01537573 _____ C:\Windows\WindowsUpdate.log
2014-01-08 22:37 - 2014-01-08 22:37 - 00000729 _____ C:\Users\TomWSch\Desktop\JRT.txt
2014-01-08 22:15 - 2009-07-14 05:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-08 22:15 - 2009-07-14 05:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-08 22:08 - 2014-01-08 22:08 - 00000000 ____D C:\ProgramData\TubeDimmer
2014-01-08 22:06 - 2013-10-23 18:22 - 00000000 ____D C:\AdwCleaner
2014-01-08 21:58 - 2014-01-08 21:58 - 01037068 _____ (Thisisu) C:\Users\TomWSch\Desktop\JRT.exe
2014-01-08 21:57 - 2014-01-08 21:56 - 01233962 _____ C:\Users\TomWSch\Desktop\adwcleaner.exe
2014-01-08 21:47 - 2013-02-16 09:35 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-01-08 14:48 - 2013-03-24 14:36 - 00000000 ____D C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition
2014-01-07 22:30 - 2014-01-07 22:11 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2014-01-07 22:30 - 2014-01-07 22:08 - 00000000 ____D C:\Users\TomWSch\Desktop\mbar
2014-01-07 22:11 - 2014-01-07 22:11 - 00117464 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2014-01-07 22:09 - 2014-01-07 22:08 - 00089304 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2014-01-07 22:06 - 2014-01-07 22:06 - 12582688 _____ (Malwarebytes Corp.) C:\Users\TomWSch\Desktop\mbar-1.07.0.1008.exe
2014-01-07 22:01 - 2014-01-04 13:39 - 00000000 ____D C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition
2014-01-06 18:40 - 2014-01-06 18:37 - 00019324 _____ C:\Users\TomWSch\Desktop\Addition.txt
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\Updater
2014-01-05 17:54 - 2014-01-05 17:54 - 00000000 ____D C:\ProgramData\RHelpers
2014-01-05 17:54 - 2013-01-20 17:10 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Mozilla
2014-01-04 18:15 - 2009-07-14 05:45 - 00415656 _____ C:\Windows\system32\FNTCACHE.DAT
2014-01-04 14:59 - 2013-01-26 11:12 - 00109232 _____ C:\Users\TomWSch\AppData\Local\GDIPFONTCACHEV1.DAT
2014-01-04 13:42 - 2014-01-04 13:42 - 00002319 _____ C:\Users\TomWSch\Desktop\StarMoney 9.0 Commerzbank-Edition.lnk
2014-01-04 13:42 - 2014-01-04 13:42 - 00000000 ____D C:\ProgramData\StarMoney 9.0
2014-01-04 13:40 - 2009-07-14 03:34 - 00017486 _____ C:\Windows\system32\Drivers\etc\services
2014-01-04 13:38 - 2013-03-24 14:35 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2014-01-01 17:09 - 2013-01-20 18:49 - 00000000 ____D C:\Users\TomWSch\AppData\Local\Microsoft Help
2013-12-29 16:27 - 2013-12-29 16:27 - 00000086 _____ C:\Users\TomWSch\AppData\Roaming\mbam.context.scan
2013-12-17 17:33 - 2013-01-16 23:09 - 00643866 _____ C:\Windows\system32\perfh007.dat
2013-12-17 17:33 - 2013-01-16 23:09 - 00126394 _____ C:\Windows\system32\perfc007.dat
2013-12-17 17:33 - 2009-07-14 06:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-12-15 18:56 - 2013-09-13 17:20 - 00000000 ____D C:\Windows\system32\MRT
2013-12-15 18:53 - 2013-01-20 13:39 - 90708896 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-12-13 14:36 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-12-11 15:47 - 2013-02-16 09:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-12-11 15:47 - 2013-01-27 15:57 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-12-11 15:47 - 2013-01-27 15:57 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-12-09 17:00 - 2013-03-09 17:48 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\PersBackup5

Some content of TEMP:
====================
C:\Users\TomWSch\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-31 10:47

==================== End Of Log ============================
--- --- ---


Addition.txt
Code:
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 05-01-2014
Ran by TomWSch at 2014-01-06 18:37:59
Running from C:\Users\TomWSch\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Kaspersky Endpoint Security 8 für Windows (Enabled - Up to date) {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
AS: Kaspersky Endpoint Security 8 für Windows (Enabled - Up to date) {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Kaspersky Endpoint Security 8 für Windows (Enabled) {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}

==================== Installed Programs ======================

7-Zip 9.20 (x64 edition) (Version: 9.20.00.0 - Igor Pavlov)
Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.05) - Deutsch (x32 Version: 11.0.05 - Adobe Systems Incorporated)
Audacity 2.0.3 (x32 Version: 2.0.3 - Audacity Team)
CANON iMAGE GATEWAY MyCamera Download Plugin (x32 Version: 3.1.0.1 - Canon Inc.)
Canon MOV Decoder (x32 Version: 1.7.0.6 - Canon Inc.)
Canon Utilities CameraWindow DC 8 (x32 Version: 8.3.0.6 - Canon Inc.)
Canon Utilities CameraWindow Launcher (x32 Version: 7.5.0.2 - Canon Inc.)
Canon Utilities Movie Uploader for YouTube (x32 Version: 1.1.0.4 - Canon Inc.)
Canon Utilities MyCamera (x32 Version: 7.4.0.2 - Canon Inc.)
Canon Utilities PhotoStitch (x32 Version: 3.1.22.46 - Canon Inc.)
CDBurnerXP (x32 Version: 4.5.2.4291 - CDBurnerXP)
Dropbox (HKCU Version: 2.0.22 - Dropbox, Inc.)
ElsterFormular (x32 Version: 14.1.11318 - Landesfinanzdirektion Thüringen)
Evernote v. 5.0.2 (x32 Version: 5.0.2.1392 - Evernote Corp.)
FreeCommander 2009.02b (x32 Version: 2009.02 - Marek Jasinski)
FreeFileSync 5.11 (x32 Version: 5.11 - Zenju)
FreePDF (Remove only) (x32 Version:  - )
GPL Ghostscript (Version: 9.10 - Artifex Software Inc.)
Intel(R) Graphics Media Accelerator Driver (Version: 8.15.10.1930 - Intel Corporation)
Kaspersky Endpoint Security 8 für Windows (Version: 8.1.0.831 - "Kaspersky Lab")
LAME v3.99.3 (for Windows) (x32 Version:  - )
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300 - Malwarebytes Corporation)
Microsoft Office Access MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Excel MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Groove MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office InfoPath MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Office 64-bit Components 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office OneNote MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Outlook MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office PowerPoint MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (English) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (French) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (Italian) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proofing (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Publisher MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Shared 64-bit MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Shared MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Word MUI (German) 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161 - Microsoft Corporation)
MozBackup 1.5.1 (x32 Version:  - Pavel Cvrcek)
Mozilla Maintenance Service (x32 Version: 17.0.2 - Mozilla)
Mozilla Thunderbird 17.0.2 (x86 de) (x32 Version: 17.0.2 - Mozilla)
Paragon Partition Manager™ 12 Free (x32 Version: 90.00.0003 - Paragon Software)
Personal Backup 5.4 (x32 Version: 5.3 - J. Rathlev)
RedMon - Redirection Port Monitor (Version:  - )
RippMe (x32 Version: 3.04 - Lindy)
StarMoney (x32 Version: 3.0.2.50 - StarFinanz) Hidden
StarMoney (x32 Version: 4.0.2.34 - StarFinanz) Hidden
StarMoney 8.0 Commerzbank-Edition (x32 Version: 8.0 - Star Finanz GmbH)
StarMoney 9.0 Commerzbank-Edition (x32 Version: 9.0 - Star Finanz GmbH)
TagScanner 5.1.630 (x32 Version:  - Sergey Serkov)
Updater (x32 Version: 2.6.53 - Creative Island Media, LLC)
WinPatrol (Version: 29.0.2013 - BillP Studios)
XnView 1.99.6 (x32 Version: 1.99.6 - Gougelet Pierre-e)

==================== Restore Points  =========================

05-01-2014 19:27:07 Geplanter Prüfpunkt

==================== Hosts content: ==========================

2009-07-14 03:34 - 2013-10-21 18:56 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1      localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {5BBB019E-790D-408A-9070-32E1AFF8C76F} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-12-11] (Adobe Systems Incorporated)
Task: {ADE226E0-08E3-4001-BBAC-02083AC359C9} - System32\Tasks\Microsoft\Windows\WindowsBackup\AutomaticBackup => Rundll32.exe /d sdengin2.dll,ExecuteScheduledBackup
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2010-01-30 02:40 - 2010-01-30 02:40 - 04254560 _____ () C:\Program Files\Common Files\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF
2013-03-24 14:41 - 2011-01-13 11:44 - 00232800 _____ () C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\PATCHW32.dll
2014-01-04 13:41 - 2011-01-13 11:44 - 00232800 _____ () C:\Program Files (x86)\StarMoney 9.0 Commerzbank-Edition\ouservice\PATCHW32.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 00283024 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\am_facade.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 01225104 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\enterprise_application_control.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 00430480 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\FileCategorizer.dll
2012-04-17 11:14 - 2012-04-17 11:14 - 00143760 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\sax_xml_parser.dll
2012-04-17 11:15 - 2012-04-17 11:15 - 00278928 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\device_control_task.ppl
2012-04-17 11:16 - 2012-04-17 11:16 - 00463248 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\WebControlTask.ppl
2012-04-17 11:13 - 2012-04-17 11:13 - 00262544 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\device_control.dll
2012-04-17 11:14 - 2012-04-17 11:14 - 00311696 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\network_services.dll
2012-04-17 11:13 - 2012-04-17 11:13 - 00422288 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\categorizer_facade.dll
2013-11-01 10:53 - 2013-07-15 18:29 - 00620718 ____N () C:\Program Files (x86)\BillP Studios\WinPatrol\sqlite3.dll
2013-03-13 21:48 - 2013-03-13 21:48 - 24978944 _____ () C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\libcef.dll
2013-09-26 13:50 - 2013-09-26 13:50 - 00433664 _____ () C:\Program Files (x86)\Evernote\Evernote\libxml2.dll
2013-09-26 13:49 - 2013-09-26 13:49 - 00315392 _____ () C:\Program Files (x86)\Evernote\Evernote\libtidy.dll

==================== Alternate Data Streams (whitelisted) =========

AlternateDataStreams: C:\Boot.BAK:KAVICHS
AlternateDataStreams: C:\fpRedmon.log:KAVICHS
AlternateDataStreams: C:\SerialSync.txt:KAVICHS
AlternateDataStreams: C:\update.phone-setup.log:KAVICHS

==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Name: Fingerprint Sensor
Description: Fingerprint Sensor
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/05/2014 06:01:57 PM) (Source: Application Hang) (User: )
Description: Programm Groovestream.exe, Version 3.7.1.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 131c

Startzeit: 01cf0a366f167ebd

Endzeit: 16

Anwendungspfad: D:\Download\FreemakeVideoDownloader\Groovestream.exe

Berichts-ID: 11b60c52-762b-11e3-a661-001742f2b0eb

Error: (01/04/2014 06:16:52 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/29/2013 06:48:00 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/17/2013 05:39:01 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: StarMoney.exe, Version: 3.0.6.49, Zeitstempel: 0x52a19e9c
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18247, Zeitstempel: 0x521ea8e7
Ausnahmecode: 0xc0000374
Fehleroffset: 0x000ce753
ID des fehlerhaften Prozesses: 0x1fd0
Startzeit der fehlerhaften Anwendung: 0xStarMoney.exe0
Pfad der fehlerhaften Anwendung: StarMoney.exe1
Pfad des fehlerhaften Moduls: StarMoney.exe2
Berichtskennung: StarMoney.exe3

Error: (12/13/2013 08:55:53 AM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 02:25:50 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 11:20:33 AM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/30/2013 05:10:08 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/23/2013 00:31:39 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/14/2013 04:25:44 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


System errors:
=============
Error: (01/06/2014 05:44:11 PM) (Source: DCOM) (User: )
Description: {1A1F4206-0688-4E7F-BE03-D82EC69DF9A5}

Error: (01/05/2014 06:19:08 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (01/05/2014 05:47:17 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (01/04/2014 06:15:58 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎04.‎01.‎2014 um 18:13:54 unerwartet heruntergefahren.

Error: (01/04/2014 06:15:21 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden gelöscht, weil der Schattenkopiespeicher nicht rechtzeitig vergrößert wurde. Sie sollten die E/A-Last auf dem System verringern oder ein Schattenkopie-Speichervolume, von dem keine Schattenkopie erstellt wird, auswählen.

Error: (12/31/2013 01:22:22 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (12/31/2013 01:22:22 PM) (Source: Schannel) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet: 252.

Error: (12/29/2013 06:46:59 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎29.‎12.‎2013 um 18:43:57 unerwartet heruntergefahren.

Error: (12/29/2013 06:46:43 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden gelöscht, weil der Schattenkopiespeicher nicht rechtzeitig vergrößert wurde. Sie sollten die E/A-Last auf dem System verringern oder ein Schattenkopie-Speichervolume, von dem keine Schattenkopie erstellt wird, auswählen.

Error: (12/18/2013 09:29:49 AM) (Source: Disk) (User: )
Description: Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\DR8 gefunden.


Microsoft Office Sessions:
=========================
Error: (01/05/2014 06:01:57 PM) (Source: Application Hang)(User: )
Description: Groovestream.exe3.7.1.0131c01cf0a366f167ebd16D:\Download\FreemakeVideoDownloader\Groovestream.exe11b60c52-762b-11e3-a661-001742f2b0eb

Error: (01/04/2014 06:16:52 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/29/2013 06:48:00 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/17/2013 05:39:01 PM) (Source: Application Error)(User: )
Description: StarMoney.exe3.0.6.4952a19e9cntdll.dll6.1.7601.18247521ea8e7c0000374000ce7531fd001cefb460d12a056C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\app\StarMoney.exeC:\Windows\SysWOW64\ntdll.dllbb67a4ca-6739-11e3-ad1a-001742f2b0eb

Error: (12/13/2013 08:55:53 AM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 02:25:50 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (12/01/2013 11:20:33 AM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/30/2013 05:10:08 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/23/2013 00:31:39 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (11/14/2013 04:25:44 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


CodeIntegrity Errors:
===================================
  Date: 2013-10-21 19:53:10.330
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.

  Date: 2013-10-21 19:53:10.268
  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\ComboFix\catchme.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.


==================== Memory info ===========================

Percentage of memory in use: 54%
Total physical RAM: 4086.36 MB
Available physical RAM: 1868.48 MB
Total Pagefile: 8170.91 MB
Available Pagefile: 5892.93 MB
Total Virtual: 8192 MB
Available Virtual: 8191.8 MB

==================== Drives ================================

Drive c: (SYSTEM) (Fixed) (Total:78.58 GB) (Free:36.77 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATEN) (Fixed) (Total:70.46 GB) (Free:63.69 GB) NTFS
Drive f: (DATEN-2) (Fixed) (Total:596.17 GB) (Free:497.6 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: A2A7A2A7)
Partition 1: (Active) - (Size=79 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=70 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 596 GB) (Disk ID: 49962155)
Partition 1: (Active) - (Size=596 GB) - (Type=07 NTFS)

==================== End Of Log ============================
Grüße
Tom

cosinus 08.01.2014 23:03
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes Anti-Malware (MBAM)

Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


TomWSch 09.01.2014 00:47
Hallo Cosinus,

beim ersten Durchlauf von Malwarebytes wurden 11 infizierte Objekte gefunden. Neben den Browser-Helpern, die ich schon zu Beginn hatte, gab es auch einen Hinweis auf Trojaner.
Nach Entfernen und Neustart habe ich Malwarebytes noch einmal laufen lassen. Dabei wurden dann keine Schädlinge gefunden.

Noch eine Zusatzinfo: Nach dem Booten hatte ich eine WinPatrol Notifikation, nämlich:
WinPatrol has detected a program previously set to run automatically on Startup no longer using this function. It may be this Option was changed or the entire program has been removed, or updated.
Updater
C:\PROGRAMDATA\UPDATER\UPDATER.EXE

Was ist hier geschehen?

Kannst Du mir bitte auch noch die Frage aus meinem letzten Post beantworten, was das Programm
C:\users\TomWSch\AppData\Local\Temp\s2h4\Setup.exe /s
macht?

Log aus dem ersten Malwarebytes-Lauf
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.08.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
TomWSch :: HP-LIFEBOOKP-1 [Administrator]

09.01.2014 00:19:44
MBAM-log-2014-01-09 (00-24-24).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211390
Laufzeit: 3 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\Updater\updater.exe (Trojan.Agent) -> 2212 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Updater (Trojan.Agent) -> Daten: C:\ProgramData\Updater\updater.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Updater (Trojan.Agent) -> Daten: C:\ProgramData\Updater\Updater.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 3
C:\ProgramData\RHelpers\ChromeHelper (PUP.Optional.Searchagent) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\FirefoxHelper (PUP.Optional.Searchagent) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\IeHelper (PUP.Optional.Searchagent) -> Keine Aktion durchgeführt.

Infizierte Dateien: 5
C:\ProgramData\RHelpers\ChromeHelper\ChromeHelper.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\FirefoxHelper\FirefoxHelper.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.
C:\ProgramData\RHelpers\IeHelper\IeHelper.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.
C:\$RECYCLE.BIN\S-1-5-21-3220388816-3851943047-4274909068-1000\$RHUT5LG.exe (PUP.Optional.SearchDonkey.A) -> Keine Aktion durchgeführt.
C:\ProgramData\Updater\updater.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)
Log aus dem zweiten Malwarebytes-Lauf
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.08.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
TomWSch :: HP-LIFEBOOKP-1 [Administrator]

09.01.2014 00:29:18
mbam-log-2014-01-09 (00-29-18).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211197
Laufzeit: 5 Minute(n),

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Morgen muss ich früh raus. Den ESET-Scan mache ich daher später.

Grüße Tom

cosinus 09.01.2014 01:02
Sind nur Reste. Wir melden das dem Autor von adwCleaner, damit dieses Programm besser weiterentwickelt werden kann

TomWSch 11.01.2014 23:23
Hallo Cosinus,

bevor ich ESET gestartet habe, habe noch mehrfach Malwarebytes laufen lassen. Zunächst wurde noch etwas gefunden. Die beiden nächsten Läufe scheinen OK zu sein.

Auch mit ESET wurde etwas gefunden.

Hier sind die vier Log-Dateien.

Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.09.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
TomWSch :: HP-LIFEBOOKP-1 [Administrator]

09.01.2014 19:47:57
mbam-log-2014-01-09 (19-47-57).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung |

Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211444
Laufzeit: 4 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCR\CLSID\{E5A7A645-8318-4895-B85C-EDC606B80DB6} (PUP.Optional.DynConIE.A) ->

Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.09.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
TomWSch :: HP-LIFEBOOKP-1 [Administrator]

09.01.2014 21:53:01
mbam-log-2014-01-09 (21-53-01).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung |

Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211379
Laufzeit: 5 Minute(n),

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.11.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
TomWSch :: HP-LIFEBOOKP-1 [Administrator]

11.01.2014 17:55:42
mbam-log-2014-01-11 (17-55-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung |

Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211691
Laufzeit: 3 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=0b3004a625e7724ebebd535f6b97bd91
# engine=16616
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-01-11 10:00:23
# local_time=2014-01-11 11:00:23 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1288 16777213 100 100 180584 54826245 0 0
# compatibility_mode=5893 16776573 100 94 113390 141107473 0 0
# scanned=219404
# found=1
# cleaned=0
# scan_time=11944
sh=5A43134839FA03E2D7C556A306E656874B02E7E7 ft=1 fh=a4d71c99c79030b0 vn="a variant of Win32/AdWare.iBryte.L.gen application" ac=I fn="D:\$RECYCLE.BIN\S-1-5-21-3220388816-3851943047-4274909068-1000\$RN6SR78\Groovestream.exe"
Grüße
Tom

cosinus 12.01.2014 17:16
TFC - Temp File Cleaner

Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.
  • Öffne die TFC.exe.
    Vista und Win 7 User mit Rechtsklick "als Administrator starten".
  • Schließe alle anderen Programme.
  • Drücke auf den Button Start.
  • Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.




Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

TomWSch 12.01.2014 17:34
Hallo Cosinus,

TFC ist problemlos durchgelaufen und hat 865 MB gelöscht!!!

Vielen Dank für die Infos zum Thema Cookies.

Mein System scheint vollkommen i. O. zu sein. Mit Ausnahme der geposteten Logs hat es keine weiteren Funde oder Probleme gegeben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:09 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19