Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WinXP Kaspersky findet Backdoor.win32.androm.ihru (https://www.trojaner-board.de/171620-winxp-kaspersky-findet-backdoor-win32-androm-ihru.html)

widhalm 29.09.2015 11:43
Code:
# AdwCleaner v5.009 - Bericht erstellt am 29/09/2015 um 11:24:23
# Aktualisiert am 27/09/2015 von Xplode
# Datenbank : 2015-09-27.1 [Server]
# Betriebssystem : Microsoft Windows XP Service Pack 3 (x86)
# Benutzername : Widhalm - OFFICEPC
# Gestartet von : C:\Dokumente und Einstellungen\Widhalm\Eigene Dateien\Downloads\AdwCleaner_5.009.exe
# Option : Löschen
# Unterstützung : hxxp://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****

[-] Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBUpdaterService
[!] Ordner Nicht Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IBUpdaterService
[-] Ordner Gelöscht : C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\PerformerSoft
[-] Ordner Gelöscht : C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\PC Cleaners
[-] Ordner Gelöscht : C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\elchiiiejkobdbblfejjkbphbddgmljf
[-] Ordner Gelöscht : C:\Programme\Conduit

***** [ Dateien ] *****

[-] Datei Gelöscht : C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\Mozilla\Firefox\Profiles\ggp5238y.default-1443009132562\user.js
[-] Datei Gelöscht : C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\Mozilla\Firefox\Profiles\ggp5238y.default-1443009132562\user.js
[-] Datei Gelöscht : C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\Mozilla\Firefox\Profiles\uio4brrl.default-1428479018956\user.js
[-] Datei Gelöscht : C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\Mozilla\Firefox\Profiles\uio4brrl.default-1428479018956\user.js

***** [ Verknüpfungen ] *****


***** [ Geplante Tasks ] *****


***** [ Registrierungsdatenbank ] *****

[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2055800
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{7ABBFE1C-E485-44AA-8F36-353751B4124D}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AF175732-0D59-716D-F757-9F1492D808D9}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF}
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E0007D18-BAA4-4573-AE78-8BEA0958C610}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E87806B5-E908-45FD-AF5E-957D83E58E68}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E0007D18-BAA4-4573-AE78-8BEA0958C610}
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E87806B5-E908-45FD-AF5E-957D83E58E68}
[-] Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-] Schlüssel Gelöscht : HKCU\Software\Conduit
[-] Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
[-] Schlüssel Gelöscht : HKCU\Software\PCCleaners
[-] Schlüssel Gelöscht : HKLM\SOFTWARE\Conduit
[-] Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F3001A02-B468-405C-BE64-3CB3D4493A4C}
[-] Daten Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[!] Schlüssel Nicht Gelöscht : HKU\S-1-5-21-861567501-1897051121-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes\{F3001A02-B468-405C-BE64-3CB3D4493A4C}
[-] Daten Wiederhergestellt : HKU\S-1-5-21-861567501-1897051121-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]

***** [ Internetbrowser ] *****

[-] [C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Gelöscht : elchiiiejkobdbblfejjkbphbddgmljf

*************************

:: Proxy Einstellungen zurückgesetzt
:: Winsock Einstellungen zurückgesetzt
:: Chrome Richtlinien gelöscht

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [4445 Bytes] ##########
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.6.3 (09.21.2015:1)
OS: Microsoft Windows XP x86
Ran by Widhalm on 29.09.2015 at 11:30:44,42
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values

Successfully deleted: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ezshieldprotector for px
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\pcpro





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 29.09.2015 at 11:36:13,89
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Code:
Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 29.09.2015
Suchlaufzeit: 12:12:14
Protokolldatei: mbam.txt
Administrator: Ja

Version: 2.1.8.1057
Malware-Datenbank: v2015.09.29.03
Rootkit-Datenbank: v2015.09.22.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows XP Service Pack 3
CPU: x86
Dateisystem: NTFS
Benutzer: Widhalm

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 460902
Abgelaufene Zeit: 20 Min., 8 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 1
Adware.Agent.ZGen, C:\Programme\Steganos Safe CBE\dllregister.exe, In Quarantäne, [1f8836ffe3a844f29d296b1d29d7bb45],

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:27-09-2015 01
durchgeführt von Widhalm (Administrator) auf OFFICEPC (29-09-2015 12:41:19)
Gestartet von C:\Dokumente und Einstellungen\Widhalm\Eigene Dateien\Downloads
Geladene Profile: Widhalm & UpdatusUser (Verfügbare Profile: Widhalm & UpdatusUser & Administrator)
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 8 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Kaspersky Lab ZAO) C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\avp.exe
(B.H.A Corporation) C:\WINDOWS\system32\bgsvcgen.exe
() C:\WINDOWS\system32\GManager.exe
(Malwarebytes Corporation) C:\Programme\Malwarebytes Anti-Malware\mbamscheduler.exe
(Malwarebytes Corporation) C:\Programme\Malwarebytes Anti-Malware\mbamservice.exe
(Kaspersky Lab ZAO) C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\avpui.exe
() C:\Programme\mysql\bin\mysqld-nt.exe
(Malwarebytes Corporation) C:\Programme\Malwarebytes Anti-Malware\mbam.exe
(Nero AG) C:\Programme\Nero\Update\NASvc.exe
(NVIDIA Corporation) C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
(RICOH Company Ltd.) C:\Programme\RDS\RsiSvc.exe
(Ricoh Co.,Ltd.) C:\Programme\RDS\SrScanDr.exe
(TeamViewer GmbH) C:\Programme\TeamViewer\TeamViewer_Service.exe
() C:\WINDOWS\system32\U2VT2Svr.exe
(RICOH Company Ltd.) C:\Programme\RDS\DdsSchedNT.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.EXE
(Logitech, Inc.) C:\Programme\Logitech\SetPointP\SetPoint.exe
() C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
(Logitech, Inc.) C:\Programme\Gemeinsame Dateien\Logishrd\KHAL3\KHALMNPR.exe
(Microsoft Corporation) C:\Programme\Microsoft ActiveSync\wcescomm.exe
(Piriform Ltd) C:\Programme\CCleaner\CCleaner.exe
(Microsoft Corporation) C:\PROGRA~1\MI3AA1~1\rapimgr.exe
(Magic Control Technology Corporation) C:\WINDOWS\system32\MTrigger2.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\plugin-container.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [JobHisInit] => C:\Programme\RMClient\JobHisInit.exe [151552 2004-03-17] ()
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [Util-MTrigger2] => C:\WINDOWS\system32\Util-MTrigger2.exe [195200 2011-05-04] ()
HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [18789920 2009-12-08] (Realtek Semiconductor Corp.)
HKLM\...\Run: [EvtMgr6] => C:\Programme\Logitech\SetPointP\SetPoint.exe [1387288 2011-10-07] (Logitech, Inc.)
HKLM\...\Run: [Drag'n Drop CD+DVD] => C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [1171456 2003-07-08] ()
HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
Winlogon\Notify\LBTWlgn: c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll [2011-09-27] (Logitech, Inc.)
HKLM\...\Policies\Explorer: [NoCDBurning] 0
HKU\S-1-5-21-861567501-1897051121-839522115-1003\...\Run: [H/PC Connection Agent] => C:\Programme\Microsoft ActiveSync\Wcescomm.exe [1289000 2006-11-13] (Microsoft Corporation)
HKU\S-1-5-21-861567501-1897051121-839522115-1003\...\Run: [CCleaner Monitoring] => C:\Programme\CCleaner\CCleaner.exe [6495144 2015-09-16] (Piriform Ltd)
HKU\S-1-5-21-861567501-1897051121-839522115-1003\...\Policies\Explorer: [NoInternetOpenWith] 1
HKU\S-1-5-21-861567501-1897051121-839522115-1003\...\MountPoints2: ##10.0.0.252#Updates - Z:\UpdateInstaller.exe
BootExecute: autocheck autochk * sdnclean.exe

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 213.33.99.70 80.120.17.70
Tcpip\..\Interfaces\{2419DBD9-F6B4-46C3-A125-1A1B7D69B65A}: [DhcpNameServer] 213.33.99.70 80.120.17.70

Internet Explorer:
==================
HKU\S-1-5-21-861567501-1897051121-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-861567501-1897051121-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://at.msn.com/?ocid=iehp
HKU\S-1-5-21-861567501-1897051121-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.at/
URLSearchHook: [S-1-5-21-861567501-1897051121-839522115-1006] ACHTUNG => Standard URLSearchHook fehlt
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search
SearchScopes: HKU\S-1-5-21-861567501-1897051121-839522115-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-861567501-1897051121-839522115-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Content Blocker Plugin -> {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358} -> C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\IEExt\ie_plugin.dll [2014-11-20] (Kaspersky Lab ZAO)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Programme\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO: Virtual Keyboard Plugin -> {B5D5BB14-C8E2-478D-9C97-574AC10AF9E8} -> C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\IEExt\ie_plugin.dll [2014-11-20] (Kaspersky Lab ZAO)
BHO: Safe Money Plugin -> {E3D96E85-529D-4269-AC6A-97CF9E2221E3} -> C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\IEExt\ie_plugin.dll [2014-11-20] (Kaspersky Lab ZAO)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\MSDAIPP.DLL [2010-02-28] (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\MSDAIPP.DLL [2010-02-28] (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\MSDAIPP.DLL [2010-02-28] (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\MSDAIPP.DLL [2010-02-28] (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\MSDAIPP.DLL [2010-02-28] (Microsoft Corporation)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll [2012-11-10] (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\MSDAIPP.DLL [2010-02-28] (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\MSDAIPP.DLL [2010-02-28] (Microsoft Corporation)

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\Mozilla\Firefox\Profiles\uio4brrl.default-1428479018956
FF Homepage: hxxps://www.google.at/
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32_19_0_0_185.dll [2015-09-22] ()
FF Plugin: @adobe.com/ShockwavePlayer -> C:\WINDOWS\system32\Adobe\Director\np32dsw_1168638.dll [2012-10-04] (Adobe Systems, Inc.)
FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\WINDOWS\system32\npDeployJava1.dll [2012-10-18] (Oracle Corporation)
FF Plugin: @kaspersky.com/content_blocker_6418E0D362104DADA084DC312DFA8ABC -> C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\content_blocker@kaspersky.com [2014-11-20] ()
FF Plugin: @kaspersky.com/online_banking_69A4E213815F42BD863D889007201D82 -> C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\online_banking@kaspersky.com [2014-11-20] ()
FF Plugin: @kaspersky.com/virtual_keyboard_294FF26A1D5B455495946778FDE7CEDB -> C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\virtual_keyboard@kaspersky.com [2014-11-20] ()
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-30] (Microsoft Corporation)
FF Plugin: @Nero.com/KM -> C:\PROGRA~1\GEMEIN~1\Nero\BROWSE~1\NPBROW~1.DLL [2013-11-07] (Nero AG)
FF Plugin: Adobe Reader -> C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2014-08-05] (Adobe Systems Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npOGAPlugin.dll [2008-06-30] (Microsoft Corporation)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\nppdf32.dll [2014-08-05] (Adobe Systems Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npqtplugin.dll [2011-11-21] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npqtplugin2.dll [2011-11-21] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npqtplugin3.dll [2011-11-21] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npqtplugin4.dll [2011-11-21] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npqtplugin5.dll [2011-11-21] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npqtplugin6.dll [2011-11-21] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npqtplugin7.dll [2011-11-21] (Apple Inc.)
FF Extension: Java Console - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2015-09-23]
FF Extension: Java Console - C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2015-09-23]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2009-01-30]
FF HKLM\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru => nicht gefunden
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff => nicht gefunden
FF HKLM\...\Firefox\Extensions: [content_blocker_6418E0D362104DADA084DC312DFA8ABC@kaspersky.com] - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\content_blocker@kaspersky.com
FF Extension: Dangerous Websites Blocker - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\content_blocker@kaspersky.com [2014-10-15]
FF HKLM\...\Firefox\Extensions: [virtual_keyboard_294FF26A1D5B455495946778FDE7CEDB@kaspersky.com] - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\virtual_keyboard@kaspersky.com
FF Extension: Virtual Keyboard - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\virtual_keyboard@kaspersky.com [2014-10-15]
FF HKLM\...\Firefox\Extensions: [online_banking_69A4E213815F42BD863D889007201D82@kaspersky.com] - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\online_banking@kaspersky.com
FF Extension: Safe Money - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\online_banking@kaspersky.com [2014-10-15]

Chrome:
=======
CHR StartupUrls: Default -> "hxxp://www.google.com"
CHR Profile: C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default
CHR Extension: (Google Präsentationen) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-09-28]
CHR Extension: (Google Docs) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-09-28]
CHR Extension: (Google Drive) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-09-28]
CHR Extension: (YouTube) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-28]
CHR Extension: (Google-Suche) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-09-28]
CHR Extension: (Google Tabellen) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-09-28]
CHR Extension: (Google Text & Tabellen Offline) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-09-28]
CHR Extension: (Chrome Hotword Shared Module) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-09-28]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-28]
CHR Extension: (Google Mail) - C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-09-28]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 AVP15.0.1; C:\Programme\Kaspersky Lab\Kaspersky Internet Security 15.0.1\avp.exe [234520 2014-08-30] (Kaspersky Lab ZAO)
R2 bgsvcgen; C:\WINDOWS\system32\bgsvcgen.exe [86016 2005-04-30] (B.H.A Corporation) [Datei ist nicht signiert]
R2 DdsSched; C:\Programme\RDS\ddsschednt.exe [36864 2002-11-20] (RICOH Company Ltd.) [Datei ist nicht signiert]
R2 GManager; C:\WINDOWS\system32\GManager.exe [222584 2011-08-31] ()
S3 gusvc; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [137200 2008-04-21] (Google)
S3 LBTServ; C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\lbtserv.exe [295192 2011-09-27] (Logitech, Inc.)
R2 MBAMScheduler; C:\Programme\Malwarebytes Anti-Malware\mbamscheduler.exe [1871160 2015-06-18] (Malwarebytes Corporation)
R2 MBAMService; C:\Programme\Malwarebytes Anti-Malware\mbamservice.exe [1133880 2015-06-18] (Malwarebytes Corporation)
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [147624 2015-09-23] (Mozilla Foundation)
R2 mysql; C:\Programme\mysql\bin\mysqld-nt.exe [1044480 2001-07-31] () [Datei ist nicht signiert]
R2 NAUpdate; C:\Programme\Nero\Update\NASvc.exe [762192 2013-07-18] (Nero AG)
R2 nvUpdatusService; C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2253120 2011-10-08] (NVIDIA Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [149352 2010-01-09] (Microsoft Corporation)
S3 osppsvc; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [4640000 2010-01-09] (Microsoft Corporation)
R2 RsiSvc; C:\Programme\RDS\RsiSvc.exe [65536 2000-11-30] (RICOH Company Ltd.) [Datei ist nicht signiert]
R2 ScanRouterDriverV2; C:\Programme\RDS\srscandr.exe [178688 2003-10-20] (Ricoh Co.,Ltd.) [Datei ist nicht signiert]
S2 SOption; C:\Programme\RDS\SOption.exe [98304 2002-07-31] (RICOH Company Ltd.) [Datei ist nicht signiert]
R2 TeamViewer; C:\Programme\TeamViewer\TeamViewer_Service.exe [5426448 2014-12-15] (TeamViewer GmbH)
R2 U2VT2Svr; C:\WINDOWS\system32\U2VT2Svr.exe [199296 2011-06-27] ()
S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ALCXWDM; C:\WINDOWS\System32\drivers\ALCXWDM.SYS [3846848 2006-02-17] (Realtek Semiconductor Corp.)
S3 Ambfilt; C:\WINDOWS\System32\drivers\Ambfilt.sys [1691480 2009-11-18] (Creative)
R1 AmdK8; C:\WINDOWS\System32\DRIVERS\AmdK8.sys [43520 2006-07-01] (Advanced Micro Devices)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)
R0 cm_km_w; C:\WINDOWS\System32\DRIVERS\cm_km_w.sys [189136 2013-01-14] (Kaspersky Lab UK Ltd)
S3 FoxAwdWINFLASH; C:\Programme\Fox LiveUpdate\FoxAwdWINFLASH.SYS [4380 2005-10-29] () [Datei ist nicht signiert]
R0 kl1; C:\WINDOWS\System32\drivers\kl1.sys [143968 2014-03-31] (Kaspersky Lab ZAO)
R2 kldisk; C:\WINDOWS\System32\DRIVERS\kldisk.sys [36928 2014-07-02] (Kaspersky Lab ZAO)
R3 klflt; C:\WINDOWS\System32\DRIVERS\klflt.sys [116744 2014-11-20] (Kaspersky Lab ZAO)
R1 klhk; C:\WINDOWS\System32\DRIVERS\klhk.sys [36024 2014-08-12] (Kaspersky Lab ZAO)
R1 KLIF; C:\WINDOWS\System32\DRIVERS\klif.sys [671928 2015-03-11] (Kaspersky Lab ZAO)
R3 klim5; C:\WINDOWS\System32\DRIVERS\klim5.sys [36448 2013-04-19] (Kaspersky Lab ZAO)
R3 klkbdflt; C:\WINDOWS\System32\DRIVERS\klkbdflt.sys [23648 2014-03-28] (Kaspersky Lab ZAO)
R3 klmouflt; C:\WINDOWS\System32\DRIVERS\klmouflt.sys [24672 2013-08-08] (Kaspersky Lab ZAO)
R1 klpd; C:\WINDOWS\System32\DRIVERS\klpd.sys [14432 2013-04-12] (Kaspersky Lab ZAO)
R1 kltdf; C:\WINDOWS\System32\DRIVERS\kltdf.sys [60552 2014-08-21] (Kaspersky Lab ZAO)
R1 kltdi; C:\WINDOWS\System32\DRIVERS\kltdi.sys [44992 2014-06-05] (Kaspersky Lab ZAO)
R1 kneps; C:\WINDOWS\System32\DRIVERS\kneps.sys [146240 2014-07-09] (Kaspersky Lab ZAO)
R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2015-06-18] (Malwarebytes Corporation)
R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [98520 2015-09-29] (Malwarebytes Corporation)
S3 Monfilt; C:\WINDOWS\System32\drivers\Monfilt.sys [1395800 2009-11-18] (Creative Technology Ltd.)
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)
S0 nvata; C:\WINDOWS\System32\DRIVERS\nvata.sys [99840 2006-03-16] (NVIDIA Corporation)
R2 nvcap; C:\WINDOWS\System32\DRIVERS\nvcap.sys [141246 2005-02-01] (NVIDIA Corporation) [Datei ist nicht signiert]
R3 NVENETFD; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [70912 2010-03-04] (NVIDIA Corporation)
R0 nvgts; C:\WINDOWS\System32\DRIVERS\nvgts.sys [168040 2010-04-08] (NVIDIA Corporation)
R3 nvnetbus; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [13824 2010-03-04] (NVIDIA Corporation)
R0 PxHelp20; C:\WINDOWS\System32\DRIVERS\PxHelp20.sys [17136 2003-06-03] (Sonic Solutions) [Datei ist nicht signiert]
R1 SLEE_16_DRIVER; C:\WINDOWS\system32\drivers\Sleen16.sys [79104 2007-10-11] (Softwareentwicklung Remus - ArchiCrypt )
R3 t2exgrp; C:\WINDOWS\System32\DRIVERS\t2exgrp.sys [27904 2011-08-02] (Magic Control Technology Corp.)
R3 t2mrgrp; C:\WINDOWS\System32\drivers\t2mrgrp.sys [28288 2011-08-02] (Magic Control Technology Corp.)
R3 t2usb; C:\WINDOWS\System32\drivers\t2usb.sys [276864 2011-09-16] (Magic Control Technology Corp.)
S3 wceusbsh; C:\WINDOWS\System32\DRIVERS\wceusbsh.sys [28672 2006-11-06] (Microsoft Corporation)
U4 Bonjour Service; kein ImagePath
S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X]
S3 GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS [X]
S4 IntelIde; kein ImagePath
S2 RGFILERW; kein ImagePath
U5 ScsiPort; C:\WINDOWS\system32\drivers\scsiport.sys [96384 2008-04-14] (Microsoft Corporation)
U1 WS2IFSL; kein ImagePath

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-09-29 12:42 - 2015-09-29 12:42 - 00000847 _____ C:\Dokumente und Einstellungen\Widhalm\Desktop\FRST.exe.lnk
2015-09-29 12:38 - 2015-09-29 12:38 - 00001287 _____ C:\Dokumente und Einstellungen\Widhalm\Desktop\mbam.txt
2015-09-29 12:10 - 2015-09-29 12:36 - 00098520 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2015-09-29 12:10 - 2015-09-29 12:10 - 00000752 _____ C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
2015-09-29 12:10 - 2015-09-29 12:10 - 00000000 ____D C:\Programme\Malwarebytes Anti-Malware
2015-09-29 12:10 - 2015-09-29 12:10 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes Anti-Malware
2015-09-29 12:10 - 2015-09-29 12:10 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2015-09-29 12:10 - 2015-06-18 08:41 - 00121560 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2015-09-29 12:10 - 2015-06-18 08:41 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2015-09-29 11:36 - 2015-09-29 11:36 - 00001149 _____ C:\Dokumente und Einstellungen\Widhalm\Desktop\JRT.txt
2015-09-29 11:30 - 2015-09-22 19:05 - 01800512 _____ (Malwarebytes) C:\Dokumente und Einstellungen\Widhalm\Desktop\JRT.exe
2015-09-29 11:29 - 2015-09-29 11:29 - 00081848 _____ C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2015-09-29 11:27 - 2015-09-29 11:27 - 00310784 _____ C:\WINDOWS\system32\FNTCACHE.DAT
2015-09-29 11:22 - 2015-09-29 11:24 - 00000000 ____D C:\AdwCleaner
2015-09-29 11:14 - 2015-09-29 11:14 - 00000892 _____ C:\Dokumente und Einstellungen\Widhalm\Desktop\Revo Uninstaller.lnk
2015-09-29 11:14 - 2015-09-29 11:14 - 00000000 ____D C:\Programme\VS Revo Group
2015-09-29 09:11 - 2015-09-29 12:41 - 00000000 ____D C:\FRST
2015-09-29 09:10 - 2015-09-29 09:10 - 01696256 _____ (Farbar) C:\Dokumente und Einstellungen\Widhalm\Desktop\FRST.exe
2015-09-25 12:28 - 2015-09-25 12:28 - 00007680 ___SH C:\WINDOWS\system32\Thumbs.db
2015-09-23 14:34 - 2015-09-23 14:34 - 03481088 _____ C:\Dokumente und Einstellungen\Widhalm\Eigene Dateien\Manipul. Hausordnung.pub
2015-09-23 10:05 - 2015-09-23 10:18 - 00000000 ____D C:\Programme\Mozilla Firefox

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-09-29 12:42 - 2007-04-30 11:01 - 00000000 ____D C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Temp
2015-09-29 12:38 - 2013-06-24 17:19 - 00001324 _____ C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
2015-09-29 12:38 - 2012-09-27 10:28 - 01066842 ____C C:\WINDOWS\WindowsUpdate.log
2015-09-29 12:36 - 2007-04-23 12:01 - 00000159 ____C C:\WINDOWS\wiadebug.log
2015-09-29 12:36 - 2007-04-23 12:01 - 00000050 ____C C:\WINDOWS\wiaservc.log
2015-09-29 12:36 - 2006-02-28 14:00 - 00012598 ____C C:\WINDOWS\system32\wpa.dbl
2015-09-29 12:35 - 2012-02-06 17:15 - 00002767 ____C C:\WINDOWS\system32\GManager.ini
2015-09-29 12:35 - 2008-10-20 11:04 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2015-09-29 12:35 - 2007-04-23 11:13 - 00000006 ___HC C:\WINDOWS\Tasks\SA.DAT
2015-09-29 12:33 - 2014-10-17 08:43 - 00032388 _____ C:\WINDOWS\SchedLgU.Txt
2015-09-29 12:33 - 2012-11-21 14:23 - 00307426 ____C C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
2015-09-29 12:33 - 2007-04-30 11:01 - 00000300 __SHC C:\Dokumente und Einstellungen\Widhalm\ntuser.ini
2015-09-29 12:33 - 2007-04-30 11:01 - 00000000 ____D C:\Dokumente und Einstellungen\Widhalm
2015-09-29 12:32 - 2009-06-16 12:58 - 00000000 ____D C:\WINDOWS\ie8updates
2015-09-29 12:32 - 2008-11-26 09:17 - 00000000 ____D C:\Programme\Steganos Safe CBE
2015-09-29 12:10 - 2007-04-23 11:59 - 00000000 ___SD C:\Programme
2015-09-29 12:10 - 2007-04-23 11:58 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users\Startmenü\Programme
2015-09-29 12:00 - 2012-04-10 15:20 - 00000884 ____C C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2015-09-29 11:31 - 2012-02-01 18:28 - 00000190 __SHC C:\Dokumente und Einstellungen\UpdatusUser\ntuser.ini
2015-09-29 11:24 - 2012-11-16 10:31 - 00131072 _____ C:\WINDOWS\system32\config\OAlerts.evt
2015-09-29 11:19 - 2007-04-23 11:38 - 00000000 ____D C:\Programme\Java
2015-09-29 11:14 - 2007-04-30 11:01 - 00000000 ___RD C:\Dokumente und Einstellungen\Widhalm\Startmenü\Programme
2015-09-29 08:56 - 2012-01-31 11:24 - 00000422 ___HC C:\WINDOWS\Tasks\User_Feed_Synchronization-{F47BDDFC-06AA-413A-BCA7-761EB6E00F1E}.job
2015-09-28 11:33 - 2012-12-07 14:09 - 03325658 ____C C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-861567501-1897051121-839522115-1003-0.dat
2015-09-28 11:33 - 2012-02-06 17:14 - 00050716 ____C C:\WINDOWS\system32\Mtrigger2.ini
2015-09-28 08:26 - 2008-04-21 11:50 - 00000000 ____D C:\Programme\Google
2015-09-28 08:21 - 2012-01-31 09:00 - 00000000 ____D C:\Programme\CCleaner
2015-09-28 08:20 - 2012-01-31 09:00 - 00000657 ____C C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
2015-09-25 12:31 - 2007-06-06 14:35 - 00000000 ____D C:\WINDOWS\Minidump
2015-09-25 12:28 - 2007-05-18 13:13 - 00051712 __SHC C:\WINDOWS\Thumbs.db
2015-09-25 12:28 - 2007-04-30 14:28 - 00055296 ____C C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2015-09-25 12:28 - 2007-04-23 12:51 - 00000000 ___SD C:\WINDOWS\Web
2015-09-25 10:40 - 2013-12-09 17:29 - 00000592 ____C C:\WINDOWS\Tasks\Widhalm Nero LIVEBackup 12 0.job
2015-09-25 10:39 - 2013-12-09 17:29 - 00000604 ____C C:\WINDOWS\Tasks\Widhalm Nero LIVEBackup Merge 12 0.job
2015-09-25 08:51 - 2010-06-24 11:09 - 00000000 ___SD C:\Dokumente und Einstellungen\Widhalm\Desktop\Scanned
2015-09-23 13:48 - 2007-04-23 11:58 - 00000000 ___RD C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
2015-09-23 13:48 - 2007-04-23 11:20 - 00000000 ___HD C:\Programme\InstallShield Installation Information
2015-09-23 13:45 - 2012-04-28 15:28 - 00000000 ____D C:\Programme\Mozilla Maintenance Service
2015-09-23 10:45 - 2013-12-09 17:29 - 00000574 ____C C:\WINDOWS\Tasks\BewTechnikFull 12 0.job
2015-09-23 10:11 - 2007-04-23 12:51 - 00000000 ____D C:\WINDOWS\repair
2015-09-23 10:10 - 2007-04-23 11:05 - 00000000 ____D C:\WINDOWS\Registration
2015-09-23 09:34 - 2013-12-13 14:47 - 00000582 ____C C:\WINDOWS\Tasks\Fullbackup Outlook 12 0.job
2015-09-22 10:00 - 2012-04-10 15:20 - 00780488 ____C (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2015-09-22 10:00 - 2012-02-24 09:49 - 00142536 ____C (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2015-09-18 11:08 - 2012-01-09 12:52 - 00000000 ___SD C:\Dokumente und Einstellungen\Widhalm\Desktop\M Nummern Gärtner zum Versand
2015-09-14 10:18 - 2011-11-28 11:47 - 00000000 ____D C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2015-09-14 10:16 - 2006-02-28 14:00 - 00000700 ____C C:\WINDOWS\win.ini
2015-09-14 10:15 - 2013-07-23 07:34 - 00000000 ____D C:\WINDOWS\system32\MRT

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2007-07-12 10:41 - 2012-02-22 14:58 - 0000091 ____C () C:\Programme\formats.def
2003-10-20 21:40 - 2003-10-20 21:40 - 0118784 ____C () C:\Programme\ZDP101.exe
2013-11-28 11:30 - 2013-11-28 11:30 - 0002528 ____C () C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\$_hpcst$.hpc
2010-06-24 10:33 - 2010-09-16 16:03 - 0000600 ____C () C:\Dokumente und Einstellungen\Widhalm\Anwendungsdaten\winscp.rnd
2013-06-24 17:19 - 2015-09-29 12:38 - 0001324 _____ () C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
2007-04-30 14:28 - 2015-09-25 12:28 - 0055296 ____C () C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2011-10-15 16:04 - 2011-10-15 16:04 - 0017408 ____C () C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Anwendungsdaten\WebpageIcons.db

Einige Dateien in TEMP:
====================
C:\Dokumente und Einstellungen\Widhalm\Lokale Einstellungen\Temp\sqlite3.dll


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\WINDOWS\explorer.exe => Datei ist digital signiert
C:\WINDOWS\system32\winlogon.exe => Datei ist digital signiert
C:\WINDOWS\system32\svchost.exe => Datei ist digital signiert
C:\WINDOWS\system32\services.exe => Datei ist digital signiert
C:\WINDOWS\system32\User32.dll => Datei ist digital signiert
C:\WINDOWS\system32\userinit.exe => Datei ist digital signiert
C:\WINDOWS\system32\rpcss.dll => Datei ist digital signiert
C:\WINDOWS\system32\dnsapi.dll => Datei ist digital signiert
C:\WINDOWS\system32\Drivers\volsnap.sys => Datei ist digital signiert

==================== Ende vom FRST.txt ============================
alles erledigt. Was muss ich noch tun?

Warlord711 29.09.2015 12:07
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Wählen Sie eine
  • Kopiere nun folgendes in die Suchleiste
    Code:
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
  • und klicke auf Öffnen.
  • Klicke auf Scannen!.
  • Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
    Zitat:
    Diese Datei wurde bereits von VirusTotal analysiert...
    klicke auf Neu analysieren.
  • Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
  • Kopiere den Link aus deiner Adresszeile und poste ihn hier.

widhalm 30.09.2015 07:10
Code:
https://www.virustotal.com/de/file/7c3ea79d994a20159f64674d8b21b45ea09a3e855d8d3a18d408990bbe8bf038/analysis/1443593265/
Moin! Gestern hab ich es nicht mehr geschafft, musste meine Kinder von der Schule holen.
Kaspersky findet es übrigens nach Totalsuche gestern immer noch.

Warlord711 30.09.2015 09:51
Jo, wie gesagt, ist zu 99.9999% ne eMail in ner Mailbox. Mach mal noch die beiden Sachen, der ESET Scan dauert länger.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


widhalm 01.10.2015 06:55
Code:
Entferungsergebnis von Farbar Recovery Scan Tool (x86) Version:27-09-2015 01
durchgeführt von Widhalm (2015-09-30 10:55:19) Run:1
Gestartet von C:\Dokumente und Einstellungen\Widhalm\Desktop
Geladene Profile: Widhalm & UpdatusUser (Verfügbare Profile: Widhalm & UpdatusUser & Administrator)
Start-Modus: Normal

==============================================

fixlist Inhalt:
*****************
emptytemp:
*****************

EmptyTemp: => 758.8 MB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende vom Fixlog 10:56:05 ====
kann ich outlook auch irgenwie überprüfen? Diese Mails lösche ich immer, kann mich nicht erinnern eines versehentlich aufgemacht zu haben.

das wird noch eine Weile dauern...

Code:
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=1a4b69921ae0bc4a9ed8e736bc25ffd9
# end=init
# utc_time=2015-09-30 09:04:57
# local_time=2015-09-30 11:04:57 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# osver=5.1.2600 NT Service Pack 3
Update Init
Update Download
Update Finalize
Updated modules version: 26009
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=1a4b69921ae0bc4a9ed8e736bc25ffd9
# end=updated
# utc_time=2015-09-30 09:07:19
# local_time=2015-09-30 11:07:19 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# osver=5.1.2600 NT Service Pack 3
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=1a4b69921ae0bc4a9ed8e736bc25ffd9
# engine=26009
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-09-30 10:40:37
# local_time=2015-09-30 12:40:37 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode_1='Kaspersky Internet Security'
# compatibility_mode=1299 16777213 100 100 6107 71184867 0 0
# scanned=165253
# found=1
# cleaned=1
# scan_time=5597
sh=B97432127A892B7544DDE03EF44968C7797062B3 ft=1 fh=157868ab22c235ed vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Dokumente und Einstellungen\Widhalm\Eigene Dateien\Downloads\SpyBot Search Destroy - CHIP-Installer.exe"

Warlord711 01.10.2015 10:17
OK, es ist definitiv nix aktives vorhanden.

Kannst du aus deinem Kaspersky heraus ein Log erstellen, aus dem die Eingangs erwähnte Meldung hervorgeht ?

widhalm 01.10.2015 10:44
Gerne :-) wenn du mir sagst wie das geht?!?
Es läuft übrigens gerade eine Kaspersky Suche, die findet scheinbar nichts mehr (ist bei 50% und bisher war die Meldung immer bei 23%)

Code:
25.09.2015 08.03.22;Gefundenes Objekt (anlage zu einer nachricht) wurde nicht verarbeitet;Outlook\Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Junk-E-Mail\[From:Swisscom AG][Subject:Die Bestellung #122681 ist bezahlt][Time:2015/09/23 15:00:11]//23_09_2015_quittung_13Q23N419.zip//23_09_2015_quittung_13Q23N419.exe;Outlook\Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Junk-E-Mail\[From:Swisscom AG][Subject:Die Bestellung #122681 ist bezahlt][Time:2015/09/23 15:00:11]//23_09_2015_quittung_13Q23N419.zip//23_09_2015_quittung_13Q23N419.exe;Backdoor.Win32.Androm.ihru;Trojanisches Programm;09/25/2015 08:03:22

Warlord711 02.10.2015 10:23
So wie das ausschaut, liegt die email im Junk-E-Mail Ordner.

Am besten den Ordner über Outlook komplett leeren, ebenso den Ordner "Gelöschte Elemente" oder wie er bei dir heissen mag.

Oder von Hand die eMail in Outlook suchen und explizit löschen, indem du die eMail auswählst und mit SHIFT+ENTF löschst.

Da die eMails in einer Zentralen .pst Datei gespeichert werden, zusammen mit allen anderen Mails, kann man nicht einfach so eine Datei auf dem Rechner löschen.

widhalm 02.10.2015 10:32
Ich hatte schon alle Mails aus diesen Ordnern gelöscht. Gestern hab ich kaspersky nochmal total suchen lassen, es wurde nichts gefunden. Habe ich das Problem nun gelöst? beim alten Bericht von Kaspersky liess sich nichts beheben, Eset hat es gelöst, stand dort.

Warlord711 05.10.2015 08:34
Dann dürfte nichts mehr da sein.


Wie gesagt, das war auch keine Infektion, lediglich eine .zip Archiv mit Schadsoftware, welches in einer eMail steckte.

Ansonsten passt alles am Rechner.

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.



Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.

Ändere regelmäßig alle deine Passwörter, jetzt, nach der Bereinigung ist ein idealer Zeitpunkt dafür
  • verwende für jede Anwendung und jeden Account ein anderes Passwort
  • ändere regelmäßig dein Passwort, vor allem bei Onlinebanking oder deinem Emailpostfach ist dieses sehr wichtig
  • speichere keine Passwörter auf deinem PC, gib diese nicht an dritte weiter
  • ein sicheres Passwort besteht aus mindestens 8 Zeichen und beinhaltet Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • benutze keine Zahlen- oder Buchstabenkombinationen, ( zB 12345678, qwertzui) auch keine Zahlen oder Buchstabenmuster
  • verwende keine Passwörter die einen Bezug zu dir, deinem Wohnort, Familienmitglied oder Haustier (Geburtsdatum, Postleitzahl, Adresse, Name) haben

Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7 / 8 : Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti-Viren-Programm und zusätzlicher Schutz
  • Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demand Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • AdwCleaner
    Dieses Tool erkennt eine Vielzahl von Werbeprogrammen (Adware) und unerwünschten Programmen (PUPs).
    Starte das Tool einmal die Woche und lass es laufen. Sollte eine neue Version verfügbar sein, so wird dies angezeigt und du kannst dir die neueste Version direkt auf den Desktop downloaden.
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • WOT (Web of trust)
    Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Mozilla Firefox
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart außerdem Downloadkapazität.


Performance
  • Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
  • Halte dich fern von Registry Cleanern.
    Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link:
    Miekemoes Blogspot ( MVP )


Was du vermeiden solltest:
  • Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
  • Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.
  • Lade keine Software von Softonic oder Chip herunter, da diese Installer oft mit Adware oder unerünschter Software versehen sind!



Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen oder Lob, Kritik und Wünsche loswerden?

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:59 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131