Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojaner hat auch mich erwischt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.07.2012, 16:05   #1
Sebastian123
 
Verschlüsselungstrojaner hat auch mich erwischt - Standard

Verschlüsselungstrojaner hat auch mich erwischt



Letztes update: Habe die Logs immer mit Quote und nicht mit Code eingefügt.... Wer lesen kann ist klar im Vorteil ;-)
Hoffe eure Regeln alle befolgt zu haben


Hallo,

leider habe ich eure Regeln zu spät gelesen und schon einiges auf eigene Faust gemacht.... Vermutlich vieles Falsch und baue nun auf eure Hilfe.

Mein OS ist Windows 7 64 bit

Zu meinem Problem:

am 13.07.2012 habe ich mir den Verschlüsselungstrojaner eingefangen; vielleicht auch mehr. Nachdem ich den Netzwerkstecker zog und neu startete habe ich AVIRA drüberlaufen lassen und das hat einiges gefunden:

Code:
ATTFilter
]Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. Juli 2012  20:13

Es wird nach 3870116 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : Sebastian
Computername   : SEBASTIAN-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 15:56:09
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 15:56:09
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 15:56:10
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 15:56:10
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 17:09:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:16:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:10:23
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:20:10
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 18:01:05
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 18:01:05
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 18:01:05
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 18:01:05
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 18:01:05
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 18:01:05
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 18:01:05
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 18:01:05
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 18:01:05
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 18:22:40
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 18:22:40
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 18:22:41
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 19:02:09
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 19:02:14
VBASE019.VDF   : 7.11.35.236     2048 Bytes  12.07.2012 19:02:14
VBASE020.VDF   : 7.11.35.237     2048 Bytes  12.07.2012 19:02:14
VBASE021.VDF   : 7.11.35.238     2048 Bytes  12.07.2012 19:02:14
VBASE022.VDF   : 7.11.35.239     2048 Bytes  12.07.2012 19:02:14
VBASE023.VDF   : 7.11.35.240     2048 Bytes  12.07.2012 19:02:15
VBASE024.VDF   : 7.11.35.241     2048 Bytes  12.07.2012 19:02:15
VBASE025.VDF   : 7.11.35.242     2048 Bytes  12.07.2012 19:02:15
VBASE026.VDF   : 7.11.35.243     2048 Bytes  12.07.2012 19:02:15
VBASE027.VDF   : 7.11.35.244     2048 Bytes  12.07.2012 19:02:15
VBASE028.VDF   : 7.11.35.245     2048 Bytes  12.07.2012 19:02:15
VBASE029.VDF   : 7.11.35.246     2048 Bytes  12.07.2012 19:02:15
VBASE030.VDF   : 7.11.35.247     2048 Bytes  12.07.2012 19:02:15
VBASE031.VDF   : 7.11.36.42    118784 Bytes  13.07.2012 18:11:53
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:02:11
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  05.07.2012 18:24:54
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 17:30:13
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 13:54:21
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL     : 8.3.0.14      807287 Bytes  13.07.2012 18:11:57
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  28.06.2012 18:02:24
AEHEUR.DLL     : 8.1.4.72     5038455 Bytes  13.07.2012 18:11:56
AEHELP.DLL     : 8.1.23.2      258422 Bytes  28.06.2012 18:01:18
AEGEN.DLL      : 8.1.5.32      434548 Bytes  06.07.2012 18:22:42
AEEXP.DLL      : 8.1.0.62       86389 Bytes  11.07.2012 19:02:10
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 19:02:10
AECORE.DLL     : 8.1.27.2      201078 Bytes  10.07.2012 19:02:10
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 15:56:09
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 15:56:09
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 15:56:10
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 15:56:09
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 15:56:09
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 15:56:10
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 15:56:09
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 15:56:10
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 15:56:09
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 15:56:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 13. Juli 2012  20:13

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Users\Sebastian\AppData\Roaming\appconf32.exe
  [FUND]      Ist das Trojanische Pferd TR/Barys.5792
C:\Program Files (x86)\SlySoft\CloneCD\ccd-uninst.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Windows\Sysnative\drivers\sptd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Versteckter Treiber
  [HINWEIS]   Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe>
  [HINWEIS]   Prozess 'avcenter.exe' wurde beendet
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Programs> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Programs> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Start Menu> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Start Menu> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Start Menu> wurde erfolgreich repariert.
  Modul ist infiziert -> <C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe167.dll>
  [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Windows\SysWOW64\svchost.exe>
  [HINWEIS]   Prozess 'svchost.exe' wurde beendet
  Modul ist infiziert -> <C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe167.dll>
  [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '(null)' verschoben!
Durchsuche Prozess 'TSTheme.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich entfernt.

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\Sebastian\AppData\Roaming\appconf32.exe
  [FUND]      Ist das Trojanische Pferd TR/Barys.5792
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f6eb4e6.qua' verschoben!
  [HINWEIS]   Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-201492113-3301738447-438832447-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-201492113-3301738447-438832447-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 13. Juli 2012  20:47
Benötigte Zeit: 33:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   2861 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
   2857 Dateien ohne Befall
      9 Archive wurden durchsucht
      2 Warnungen
      6 Hinweise
 619330 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         
Habe diesen suchlauf unterbrochen um Avira upzudaten, als ich jedoch wieder ins internet ging kamerneut die verschlüsselung. Also erneut das Netzwerkkabel getrennt und wieder den Suchlauf gestartet:

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. Juli 2012  22:50

Es wird nach 3870116 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SEBASTIAN-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 15:56:09
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 15:56:09
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 15:56:10
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 15:56:10
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 17:09:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:16:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:10:23
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:20:10
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 18:01:05
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 18:01:05
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 18:01:05
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 18:01:05
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 18:01:05
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 18:01:05
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 18:01:05
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 18:01:05
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 18:01:05
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 18:22:40
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 18:22:40
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 18:22:41
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 19:02:09
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 19:02:14
VBASE019.VDF   : 7.11.35.236     2048 Bytes  12.07.2012 19:02:14
VBASE020.VDF   : 7.11.35.237     2048 Bytes  12.07.2012 19:02:14
VBASE021.VDF   : 7.11.35.238     2048 Bytes  12.07.2012 19:02:14
VBASE022.VDF   : 7.11.35.239     2048 Bytes  12.07.2012 19:02:14
VBASE023.VDF   : 7.11.35.240     2048 Bytes  12.07.2012 19:02:15
VBASE024.VDF   : 7.11.35.241     2048 Bytes  12.07.2012 19:02:15
VBASE025.VDF   : 7.11.35.242     2048 Bytes  12.07.2012 19:02:15
VBASE026.VDF   : 7.11.35.243     2048 Bytes  12.07.2012 19:02:15
VBASE027.VDF   : 7.11.35.244     2048 Bytes  12.07.2012 19:02:15
VBASE028.VDF   : 7.11.35.245     2048 Bytes  12.07.2012 19:02:15
VBASE029.VDF   : 7.11.35.246     2048 Bytes  12.07.2012 19:02:15
VBASE030.VDF   : 7.11.35.247     2048 Bytes  12.07.2012 19:02:15
VBASE031.VDF   : 7.11.36.42    118784 Bytes  13.07.2012 18:11:53
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:02:11
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  05.07.2012 18:24:54
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 17:30:13
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 13:54:21
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL     : 8.3.0.14      807287 Bytes  13.07.2012 18:11:57
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  28.06.2012 18:02:24
AEHEUR.DLL     : 8.1.4.72     5038455 Bytes  13.07.2012 18:11:56
AEHELP.DLL     : 8.1.23.2      258422 Bytes  28.06.2012 18:01:18
AEGEN.DLL      : 8.1.5.32      434548 Bytes  06.07.2012 18:22:42
AEEXP.DLL      : 8.1.0.62       86389 Bytes  11.07.2012 19:02:10
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 19:02:10
AECORE.DLL     : 8.1.27.2      201078 Bytes  10.07.2012 19:02:10
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 15:56:09
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 15:56:09
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 15:56:10
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 15:56:09
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 15:56:09
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 15:56:10
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 15:56:09
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 15:56:10
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 15:56:09
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 15:56:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50006dc0\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 13. Juli 2012  22:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Sebastian\AppData\Roaming\13001.023\components\AcroFF023.dll'
C:\Users\Sebastian\AppData\Roaming\13001.023\components\AcroFF023.dll
  [FUND]      Ist das Trojanische Pferd TR/Spy.Banker.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '571d207d.qua' verschoben!


Ende des Suchlaufs: Freitag, 13. Juli 2012  22:51
Benötigte Zeit: 01:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     13 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     12 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         
Scheinbar habe ich diesen Suchlauf auch wieder abgebrochen.... Warum weiß ich aber auch nicht. Danach habe ich jedenfalls einen kompletten Suchlauf gestartet:

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 13. Juli 2012  21:50

Es wird nach 3870116 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SEBASTIAN-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 15:56:09
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 15:56:09
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 15:56:10
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 15:56:10
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 17:09:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:16:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:10:23
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:20:10
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 18:01:05
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 18:01:05
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 18:01:05
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 18:01:05
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 18:01:05
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 18:01:05
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 18:01:05
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 18:01:05
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 18:01:05
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 18:22:40
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 18:22:40
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 18:22:41
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 19:02:09
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 19:02:14
VBASE019.VDF   : 7.11.35.236     2048 Bytes  12.07.2012 19:02:14
VBASE020.VDF   : 7.11.35.237     2048 Bytes  12.07.2012 19:02:14
VBASE021.VDF   : 7.11.35.238     2048 Bytes  12.07.2012 19:02:14
VBASE022.VDF   : 7.11.35.239     2048 Bytes  12.07.2012 19:02:14
VBASE023.VDF   : 7.11.35.240     2048 Bytes  12.07.2012 19:02:15
VBASE024.VDF   : 7.11.35.241     2048 Bytes  12.07.2012 19:02:15
VBASE025.VDF   : 7.11.35.242     2048 Bytes  12.07.2012 19:02:15
VBASE026.VDF   : 7.11.35.243     2048 Bytes  12.07.2012 19:02:15
VBASE027.VDF   : 7.11.35.244     2048 Bytes  12.07.2012 19:02:15
VBASE028.VDF   : 7.11.35.245     2048 Bytes  12.07.2012 19:02:15
VBASE029.VDF   : 7.11.35.246     2048 Bytes  12.07.2012 19:02:15
VBASE030.VDF   : 7.11.35.247     2048 Bytes  12.07.2012 19:02:15
VBASE031.VDF   : 7.11.36.42    118784 Bytes  13.07.2012 18:11:53
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:02:11
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  05.07.2012 18:24:54
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 17:30:13
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 13:54:21
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL     : 8.3.0.14      807287 Bytes  13.07.2012 18:11:57
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  28.06.2012 18:02:24
AEHEUR.DLL     : 8.1.4.72     5038455 Bytes  13.07.2012 18:11:56
AEHELP.DLL     : 8.1.23.2      258422 Bytes  28.06.2012 18:01:18
AEGEN.DLL      : 8.1.5.32      434548 Bytes  06.07.2012 18:22:42
AEEXP.DLL      : 8.1.0.62       86389 Bytes  11.07.2012 19:02:10
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 19:02:10
AECORE.DLL     : 8.1.27.2      201078 Bytes  10.07.2012 19:02:10
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 15:56:09
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 15:56:09
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 15:56:10
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 15:56:09
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 15:56:09
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 15:56:10
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 15:56:09
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 15:56:10
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 15:56:09
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 15:56:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120713-204712-DB0464AF.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 13. Juli 2012  21:50

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
  [HINWEIS]   Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\SlySoft\CloneCD\ccd-uninst.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Windows\Sysnative\drivers\sptd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '2039' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Volume>
C:\Program Files (x86)\SlySoft\CloneCD\ccd-uninst.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Program Files (x86)\WinRAR\rarnew.dat
  [WARNUNG]   Das Archiv ist unbekannt oder defekt
C:\Users\Sebastian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2WJ3XKC2\IE9-win7[1].msu
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Sebastian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2WJ3XKC2\Windows6.1-KB2454826-v2-x64[1].msu
  [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Users\Sebastian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\3O5NER3Y\install_flashplayer11x64ax_gtba_aih[1].exe
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\7004338a-76fb1fc3
  [0] Archivtyp: ZIP
  --> Field.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HG
  --> Inc.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
  --> m.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HF
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\4a2e8034-7406ce11
  [0] Archivtyp: ZIP
  --> ta/a2.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.BY
  --> ta/C.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.CU
  --> ta/ta.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
  --> ta/tc.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.CW
  --> ta/tb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ
  --> ta/er.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\5293a7b4-7cd341c3
  [0] Archivtyp: ZIP
  --> a/A.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.BD.1.B
  --> a/a.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.BE.1.B
  --> a/b.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/12-0507.AP.1.C
  --> a/d.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
  --> a/ref.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.CH.1
C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe.dll
  [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
C:\Users\Sebastian\Desktop\SetupCloneCD5314.exe
  [WARNUNG]   Die komprimierten Daten sind fehlerhaft
C:\Users\Sebastian\Documents\WISO Mein Geld\MeinGeld.mgz
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~1.mgz
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~2.mgz
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~3.mgz
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~4.mgz
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\Users\Sebastian\Documents\WISO Mein Geld\Backup\MeinGeld~5.mgz
  [WARNUNG]   Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\Users\Sebastian\AppData\Roaming\BAcroIEHelpe.dll
  [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Agent.deoh
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '568c3527.qua' verschoben!
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\5293a7b4-7cd341c3
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/11-3544.CH.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e411a91.qua' verschoben!
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\4a2e8034-7406ce11
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c154088.qua' verschoben!
C:\Users\Sebastian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\7004338a-76fb1fc3
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HF
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a200fbd.qua' verschoben!


Ende des Suchlaufs: Freitag, 13. Juli 2012  23:38
Benötigte Zeit:  1:47:15 Stunde(n)

Der Suchlauf wurde abgebrochen!

  17058 Verzeichnisse wurden überprüft
 329778 Dateien wurden geprüft
     15 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 329762 Dateien ohne Befall
   1997 Archive wurden durchsucht
     14 Warnungen
      5 Hinweise
 607658 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         
Danach habe ich MBAM heruntergeladen und nach manuellem Update einen Scan ausgeführt:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sebastian :: SEBASTIAN-PC [Administrator]

14.07.2012 15:36:39
mbam-log-2012-07-14 (15-36-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 230132
Laufzeit: 1 Stunde(n), 20 Minute(n), 11 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Sebastian\AppData\Local\Temp\glom0_og.exe (Spyware.Zbot.DG) -> Löschen bei Neustart.

(Ende)
         

Außerdem hat MBAM auch IPS geblockt:

Code:
ATTFilter
2012/07/15 13:21:58 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Starting protection
2012/07/15 13:22:02 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Protection started successfully
2012/07/15 13:22:05 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Starting IP protection
2012/07/15 13:22:12 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	IP Protection started successfully
2012/07/15 14:47:18 +0200	SEBASTIAN-PC	Sebastian	IP-BLOCK	85.183.254.9 (Type: outgoing, Port: 50849, Process: firefox.exe)
2012/07/15 14:55:25 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Stopping IP protection
2012/07/15 15:04:13 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	IP Protection stopped


und nochmal:

2012/07/18 17:48:33 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Starting protection
2012/07/18 17:48:36 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Protection started successfully
2012/07/18 17:48:39 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Starting IP protection
2012/07/18 17:48:46 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	IP Protection started successfully
2012/07/18 18:04:57 +0200	SEBASTIAN-PC	Sebastian	IP-BLOCK	109.163.229.165 (Type: outgoing, Port: 49555, Process: firefox.exe)
2012/07/18 18:04:57 +0200	SEBASTIAN-PC	Sebastian	IP-BLOCK	109.163.229.165 (Type: outgoing, Port: 49556, Process: firefox.exe)
2012/07/18 18:04:57 +0200	SEBASTIAN-PC	Sebastian	IP-BLOCK	109.163.229.165 (Type: outgoing, Port: 49557, Process: firefox.exe)
2012/07/18 18:04:57 +0200	SEBASTIAN-PC	Sebastian	IP-BLOCK	109.163.229.165 (Type: outgoing, Port: 49560, Process: firefox.exe)
2012/07/18 18:04:57 +0200	SEBASTIAN-PC	Sebastian	IP-BLOCK	109.163.229.165 (Type: outgoing, Port: 49562, Process: firefox.exe)
2012/07/18 18:04:57 +0200	SEBASTIAN-PC	Sebastian	IP-BLOCK	109.163.229.165 (Type: outgoing, Port: 49565, Process: firefox.exe)
2012/07/18 20:07:08 +0200	SEBASTIAN-PC	Sebastian	MESSAGE	Executing scheduled update:  Daily
2012/07/18 20:07:09 +0200	SEBASTIAN-PC	Sebastian	ERROR	Scheduled update failed:  No address found failed with error code 0


und während ich hier am Schreiben war hat AVIRA nochmal Alarm geschlagen:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 21. Juli 2012  16:46

Es wird nach 3913525 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SEBASTIAN-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 15:56:09
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 15:56:09
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 15:56:10
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 15:56:10
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 17:09:23
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:16:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:10:23
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:20:10
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 18:01:05
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 18:01:05
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 18:01:05
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 18:01:05
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 18:01:05
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 18:01:05
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 18:01:05
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 18:01:05
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 18:01:05
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 18:22:40
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 18:22:40
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 18:22:41
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 19:02:09
VBASE018.VDF   : 7.11.35.235   151552 Bytes  12.07.2012 19:02:14
VBASE019.VDF   : 7.11.36.45    118784 Bytes  13.07.2012 19:02:19
VBASE020.VDF   : 7.11.36.107   123904 Bytes  16.07.2012 15:58:50
VBASE021.VDF   : 7.11.36.147   238592 Bytes  17.07.2012 15:58:48
VBASE022.VDF   : 7.11.36.209   135168 Bytes  19.07.2012 14:33:18
VBASE023.VDF   : 7.11.37.19    116224 Bytes  21.07.2012 14:33:18
VBASE024.VDF   : 7.11.37.20      2048 Bytes  21.07.2012 14:33:18
VBASE025.VDF   : 7.11.37.21      2048 Bytes  21.07.2012 14:33:18
VBASE026.VDF   : 7.11.37.22      2048 Bytes  21.07.2012 14:33:18
VBASE027.VDF   : 7.11.37.23      2048 Bytes  21.07.2012 14:33:18
VBASE028.VDF   : 7.11.37.24      2048 Bytes  21.07.2012 14:33:18
VBASE029.VDF   : 7.11.37.25      2048 Bytes  21.07.2012 14:33:18
VBASE030.VDF   : 7.11.37.26      2048 Bytes  21.07.2012 14:33:19
VBASE031.VDF   : 7.11.37.34     39936 Bytes  21.07.2012 14:33:19
Engineversion  : 8.2.10.118
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:02:11
AESCRIPT.DLL   : 8.1.4.34      455035 Bytes  21.07.2012 14:33:23
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 17:30:13
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 13:54:21
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL     : 8.3.0.16      807287 Bytes  21.07.2012 14:33:23
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  21.07.2012 14:33:22
AEHEUR.DLL     : 8.1.4.76     5063031 Bytes  21.07.2012 14:33:22
AEHELP.DLL     : 8.1.23.2      258422 Bytes  28.06.2012 18:01:18
AEGEN.DLL      : 8.1.5.34      434548 Bytes  21.07.2012 14:33:19
AEEXP.DLL      : 8.1.0.68       86389 Bytes  21.07.2012 14:33:23
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 19:02:10
AECORE.DLL     : 8.1.27.2      201078 Bytes  10.07.2012 19:02:10
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 15:56:09
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 15:56:09
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 15:56:10
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 15:56:09
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 15:56:09
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 15:56:10
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 15:56:09
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 15:56:10
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 15:56:09
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 15:56:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_500abceb\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 21. Juli 2012  16:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OTL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Sebastian\AppData\Roaming\AcroIEHelpe167.dll'
C:\Users\Sebastian\AppData\Roaming\AcroIEHelpe167.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.aotx.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '554a6cfd.qua' verschoben!


Ende des Suchlaufs: Samstag, 21. Juli 2012  16:48
Benötigte Zeit: 01:59 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     20 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     19 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         

Also ich bin echt irgendwie gerade ängstlich....

Habe mich nicht beim Online-Banking oder sontwo angemeldet.....

Ok... soweit erstmal von mir. Werde noch einen OTL Scan nach Vorschrift machen und posten.

Vielen Dank schonmal im Voraus.


Viele Grüße, Sebastian

P.S. Ich würde nur ungern meinen PC neu aufsetzen müssen und bin auch gerne bereit euch eine kleine "Spende" zukommen zu lassen wenn ihr mir anders auch helfen könnt.


update:

sorry, entgegen eurer Anleitung hat OTL bei mir nur ein LogFile erstellt... was habe ich falsch gemacht ....


habe auch schon ein wenig darin rumgelesen und derart viele Filers habe ich in den letzten 30 Tagen bestimmt nicht geändert... zumindest nicht wissentlich.
Außerdem finde ich den Eintrag names "keyfile3" sehr beunruhigend....

Aber ich habe eigentlich keine Ahnung was genau steht... hier das Ergebnis:

OTL Logfile:

Code:
ATTFilter
OTL logfile created on: 21.07.2012 17:08:52 - Run 2
OTL by OldTimer - Version 3.2.54.0     Folder = C:\Users\Sebastian\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,85 Gb Available Physical Memory | 61,68% Memory free
5,99 Gb Paging File | 4,56 Gb Available in Paging File | 76,14% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 97,66 Gb Total Space | 35,28 Gb Free Space | 36,13% Space Free | Partition Type: NTFS
Drive D: | 348,10 Gb Total Space | 182,22 Gb Free Space | 52,35% Space Free | Partition Type: NTFS
Drive E: | 19,99 Gb Total Space | 10,40 Gb Free Space | 52,01% Space Free | Partition Type: FAT32
Drive F: | 327,48 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: SEBASTIAN-PC | User Name: Sebastian | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Sebastian\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Windows\SysWOW64\IoctlSvc.exe (Prolific Technology Inc.)
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (Akamai) -- c:\program files (x86)\common files\akamai/netsession_win_4f7fccd.dll ()
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (TeamViewer7) -- C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (TeamViewer6) -- C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (npggsvc) -- C:\Windows\SysWOW64\GameMon.des (INCA Internet Co., Ltd.)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (HPSLPSVC) -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL (Hewlett-Packard Co.)
SRV - (dtpd) -- C:\Programme\ShrewSoft\VPN Client\dtpd.exe ()
SRV - (iked) -- C:\Programme\ShrewSoft\VPN Client\iked.exe ()
SRV - (ipsecd) -- C:\Programme\ShrewSoft\VPN Client\ipsecd.exe ()
SRV - (wlidsvc) -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Program Files (x86)\WinPcap\rpcapd.exe (CACE Technologies)
SRV - (WcesComm) -- C:\Windows\WindowsMobile\wcescomm.dll (Microsoft Corporation)
SRV - (RapiMgr) -- C:\Windows\WindowsMobile\rapimgr.dll (Microsoft Corporation)
SRV - (PLFlash DeviceIoControl Service) -- C:\Windows\SysWOW64\IoctlSvc.exe (Prolific Technology Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (ssudmdm) SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.) -- C:\Windows\SysNative\drivers\ssudmdm.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV:64bit: - (dg_ssudbus) SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.) -- C:\Windows\SysNative\drivers\ssudbus.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV:64bit: - (avkmgr) -- C:\Windows\SysNative\drivers\avkmgr.sys (Avira GmbH)
DRV:64bit: - (atksgt) -- C:\Windows\SysNative\drivers\atksgt.sys ()
DRV:64bit: - (lirsgt) -- C:\Windows\SysNative\drivers\lirsgt.sys ()
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys ()
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (vflt) -- C:\Windows\SysNative\drivers\vfilter.sys (Shrew Soft Inc)
DRV:64bit: - (vnet) -- C:\Windows\SysNative\drivers\virtualnet.sys (Shrew Soft Inc)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (usb_rndisx) -- C:\Windows\SysNative\drivers\usb8023x.sys (Microsoft Corporation)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation                                            )
DRV:64bit: - (netr28ux) -- C:\Windows\SysNative\drivers\netr28ux.sys (Ralink Technology Corp.)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (ElbyCDIO) -- C:\Windows\SysNative\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV:64bit: - (NPF) -- C:\Windows\SysNative\drivers\npf.sys (CACE Technologies)
DRV:64bit: - (ElbyCDFL) -- C:\Windows\SysNative\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
DRV - (ElbyCDFL) -- C:\Windows\SysWOW64\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (NPPTNT2) -- C:\Windows\SysWOW64\npptNT2.sys (INCA Internet Co., Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 56 6E 9C ED 05 FD CA 01  [binary data]
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: multilinks@plugin:3.0.0.16
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.90
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q="
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_265.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.10.22 20:17:53 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 14:48:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.06.28 13:29:09 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.07.15 14:04:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.10.22 20:17:53 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\Sebastian\AppData\Roaming\13001.023 [2012.07.12 20:45:11 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.06.17 14:48:46 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.06.28 13:29:09 | 000,000,000 | ---D | M]
 
[2010.05.16 22:27:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Extensions
[2010.05.16 22:27:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.07.04 20:58:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions
[2012.05.18 19:31:56 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions\ich@maltegoetz.de
[2011.05.20 17:10:43 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions\nostmp
[2012.01.27 18:04:19 | 000,000,000 | ---D | M] ([verify-U]-Add-on) -- C:\Users\Sebastian\AppData\Roaming\mozilla\Firefox\Profiles\2pr8ki9d.default\extensions\verify-u_2@cybits.de
[2012.07.12 19:31:33 | 000,000,950 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\2pr8ki9d.default\searchplugins\icqplugin-1.xml
[2010.06.22 10:07:46 | 000,001,069 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\2pr8ki9d.default\searchplugins\icqplugin.xml
[2012.03.18 11:57:42 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.07.12 20:45:11 | 000,000,000 | ---D | M] (Java Link Helper) -- C:\USERS\SEBASTIAN\APPDATA\ROAMING\13001.023
[2011.12.28 11:08:14 | 000,038,090 | ---- | M] () (No name found) -- C:\USERS\SEBASTIAN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\2PR8KI9D.DEFAULT\EXTENSIONS\MULTILINKS@PLUGIN.XPI
[2012.06.17 14:48:46 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.03.07 13:07:16 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2012.04.26 22:04:11 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.04.26 22:04:11 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.04.26 22:04:11 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.04.26 22:04:11 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.26 22:04:11 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.04.26 22:04:11 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4:64bit: - HKLM..\Run: [Windows Mobile Device Center] C:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk = C:\Program Files (x86)\WISO\Steuersoftware 2012\mshaktuell.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files (x86)\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000005 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000006 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{590E76F6-97C1-496A-A036-FCF46ADC7F60}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{88530A68-143F-4147-A335-973A92136A56}: DhcpNameServer = 192.168.1.1
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap11 - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18:64bit: - Protocol\Filter\text/xml - No CLSID value found
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [1999.04.19 02:48:30 | 000,000,025 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{6dfce9cc-ceed-11de-b86d-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{6dfce9cc-ceed-11de-b86d-806e6f6e6963}\Shell\AutoRun\command - "" = F:\START.EXE -- [1999.04.19 00:59:53 | 001,832,279 | R--- | M] (Macromedia, Inc.)
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.21 16:42:45 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\Sebastian\Desktop\OTL.exe
[2012.07.15 14:56:16 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2012.07.15 14:52:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.07.15 14:52:26 | 002,322,184 | ---- | C] (ESET) -- C:\Users\Sebastian\Desktop\esetsmartinstaller_enu.exe
[2012.07.14 15:19:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.07.14 15:19:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.07.14 15:19:05 | 010,063,000 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\Sebastian\Desktop\malwarebytes_antimalware_1.61.exe
[2012.07.12 20:45:10 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\13001.023
[2012.07.12 19:45:09 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\13001.022
[2012.07.12 19:44:38 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\xmldm
[2012.07.12 19:44:37 | 000,000,000 | ---D | C] -- C:\Users\Sebastian\AppData\Roaming\kock
[2012.07.01 15:08:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Hamachi
[2012.07.01 15:08:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\LogMeIn Hamachi
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Users\Sebastian\AppData\Roaming\*.tmp files -> C:\Users\Sebastian\AppData\Roaming\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.21 16:54:01 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.21 16:42:48 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Sebastian\Desktop\OTL.exe
[2012.07.21 16:41:36 | 000,050,477 | ---- | M] () -- C:\Users\Sebastian\Desktop\Defogger.exe
[2012.07.21 16:37:46 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.07.21 16:37:46 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.07.21 16:37:13 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.07.21 16:37:13 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.07.21 16:37:13 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.07.21 16:37:13 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.07.21 16:37:13 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.07.21 16:30:19 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.21 16:29:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.07.21 16:29:51 | 2414,485,504 | -HS- | M] () -- C:\hiberfil.sys
[2012.07.20 21:14:12 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.15 14:52:27 | 002,322,184 | ---- | M] (ESET) -- C:\Users\Sebastian\Desktop\esetsmartinstaller_enu.exe
[2012.07.15 14:04:25 | 000,002,092 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Thunderbird.lnk
[2012.07.14 15:35:50 | 000,001,115 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.14 15:34:58 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad
[2012.07.14 15:17:29 | 010,063,000 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\Sebastian\Desktop\malwarebytes_antimalware_1.61.exe
[2012.07.12 22:25:03 | 000,000,026 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\urhtps.dat
[2012.07.12 22:18:30 | 000,000,051 | ---- | M] () -- C:\Users\Sebastian\AppData\Roaming\blckdom.res
[2012.07.11 18:12:36 | 000,445,544 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.07.03 13:46:44 | 000,024,904 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.07.01 15:08:26 | 000,000,932 | ---- | M] () -- C:\Users\Public\Desktop\LogMeIn Hamachi.lnk
[2012.06.28 13:29:09 | 000,002,020 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[1 C:\Windows\SysNative\drivers\*.tmp files -> C:\Windows\SysNative\drivers\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\Users\Sebastian\AppData\Roaming\*.tmp files -> C:\Users\Sebastian\AppData\Roaming\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.21 16:41:35 | 000,050,477 | ---- | C] () -- C:\Users\Sebastian\Desktop\Defogger.exe
[2012.07.15 14:04:25 | 000,002,092 | ---- | C] () -- C:\Users\Public\Desktop\Mozilla Thunderbird.lnk
[2012.07.14 17:28:32 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.14 15:19:53 | 000,001,115 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.14 11:37:56 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad
[2012.07.12 22:25:03 | 000,000,026 | ---- | C] () -- C:\Users\Sebastian\AppData\Roaming\urhtps.dat
[2012.07.12 19:44:48 | 000,000,051 | ---- | C] () -- C:\Users\Sebastian\AppData\Roaming\blckdom.res
[2012.02.03 18:04:26 | 000,000,622 | ---- | C] () -- C:\Windows\wiso.ini
[2011.12.23 21:58:28 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe
[2011.11.18 12:35:06 | 000,000,845 | ---- | C] () -- C:\Users\Sebastian\.recently-used.xbel
[2011.09.13 15:35:05 | 000,000,535 | ---- | C] () -- C:\Windows\eReg.dat
[2011.06.07 21:35:32 | 005,875,284 | ---- | C] () -- C:\Users\Sebastian\Gutes Nitzwerk- Paul Kalkbrenner-  Filmed in Shanghai via IPhone- Album- Icke  wieder-.mp3
[2011.06.05 13:09:58 | 000,061,440 | ---- | C] () -- C:\Users\Sebastian\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.27 14:19:30 | 000,974,848 | ---- | C] () -- C:\Windows\SysWow64\cis-2.4.dll
[2011.04.27 14:19:30 | 000,081,920 | ---- | C] () -- C:\Windows\SysWow64\issacapi_bs-2.3.dll
[2011.04.27 14:19:30 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\issacapi_pe-2.3.dll
[2011.04.27 14:19:30 | 000,057,344 | ---- | C] () -- C:\Windows\SysWow64\issacapi_se-2.3.dll
[2011.04.08 11:06:14 | 000,004,096 | -H-- | C] () -- C:\Users\Sebastian\AppData\Local\keyfile3.drm
[2011.01.07 19:03:33 | 000,000,032 | ---- | C] () -- C:\Windows\Menu.INI
[2011.01.05 23:47:15 | 000,007,639 | ---- | C] () -- C:\Users\Sebastian\AppData\Local\Resmon.ResmonCfg
[2010.10.22 20:13:24 | 000,252,124 | ---- | C] () -- C:\Windows\hpwins21.dat
[2010.10.22 20:13:24 | 000,000,575 | ---- | C] () -- C:\Windows\hpwmdl21.dat
[2010.08.26 15:58:27 | 005,575,650 | ---- | C] () -- C:\Users\Sebastian\3DModels-Scopia-1.0.52.zip
[2009.11.24 23:13:54 | 000,001,024 | ---- | C] () -- C:\Users\Sebastian\.rnd
[2009.11.24 22:38:52 | 000,000,081 | -HS- | C] () -- C:\ProgramData\.zreglib
 
========== LOP Check ==========
 
[2012.07.12 19:45:09 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\13001.022
[2012.07.12 20:45:11 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\13001.023
[2012.02.01 12:57:24 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Babylon
[2010.06.05 14:11:49 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Buhl Data Service
[2010.06.05 14:09:39 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Buhl Data Service GmbH
[2010.05.27 19:21:35 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\DAEMON Tools Lite
[2010.06.05 14:10:44 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\DataDesign
[2011.05.30 18:43:32 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.06.06 12:11:51 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\fun communications
[2011.08.09 19:10:42 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\gtk-2.0
[2012.02.20 23:03:57 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\ICQ
[2011.01.23 19:20:01 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\JSGSoft.com
[2012.07.12 19:44:37 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\kock
[2010.11.27 22:43:04 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\MAGIX
[2012.04.15 22:27:57 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\MyPhoneExplorer
[2011.01.15 23:22:22 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Roaming
[2012.02.01 12:40:45 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Samsung
[2010.09.04 15:53:51 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Shrew_Soft_VPN
[2011.01.30 18:09:36 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\SmartDraw
[2011.02.12 21:12:24 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\TeamViewer
[2012.02.01 12:51:25 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Temp
[2010.05.16 22:27:21 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Thunderbird
[2012.02.21 21:33:28 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Ubisoft
[2010.06.13 13:32:48 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\Ulead Systems
[2012.07.12 19:44:38 | 000,000,000 | ---D | M] -- C:\Users\Sebastian\AppData\Roaming\xmldm
[2012.04.08 16:26:26 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 24 bytes -> C:\Windows:64680A8D8599E7EB

< End of report >
         
--- --- ---



Ich gehe an diesem Rechner jedenfalls voerst nicht mehr online ;-)

Hoffe auf baldige Hilfe

Viele Grüße,

Sebastian

Geändert von Sebastian123 (21.07.2012 um 16:41 Uhr)

Alt 24.07.2012, 17:16   #2
Sebastian123
 
Verschlüsselungstrojaner hat auch mich erwischt - Standard

Verschlüsselungstrojaner hat auch mich erwischt



Hi, nachdem nun drei Tage vergangen sind seid meinem Post....

... will ich hiermit -gemäß euren Regelen- nochmal an mein problem erinnern mit der Hoffnung auf baldige Hilfe
__________________


Alt 26.07.2012, 17:23   #3
Sebastian123
 
Verschlüsselungstrojaner hat auch mich erwischt - Standard

Verschlüsselungstrojaner hat auch mich erwischt



ok nun sind fünf Tage um....

Kann ich noch mit Hilfe rechnen? Habe ich eetwas falsch gemacht?

Bitte so langsm brauche ich meinen PC
__________________

Alt 28.07.2012, 15:25   #4
Sebastian123
 
Verschlüsselungstrojaner hat auch mich erwischt - Standard

Verschlüsselungstrojaner hat auch mich erwischt



ok nun ist eine Woche um....

bitte bitte bitte ....

ich will den rechner nur sehr ungern neu aufsetzen

Alt 30.07.2012, 17:39   #5
Sebastian123
 
Verschlüsselungstrojaner hat auch mich erwischt - Standard

Verschlüsselungstrojaner hat auch mich erwischt



ok nun sind 9 Tage um...?


Alt 04.08.2012, 14:57   #6
Sebastian123
 
Verschlüsselungstrojaner hat auch mich erwischt - Standard

Verschlüsselungstrojaner hat auch mich erwischt



letzter Hilfeschrei....?

Bitte bitte bitte helft mir......

Alt 13.08.2012, 18:14   #7
Sebastian123
 
Verschlüsselungstrojaner hat auch mich erwischt - Standard

Verschlüsselungstrojaner hat auch mich erwischt



Ok irgendwie muss ich davon ausgehen dass mir hier keiner mehr helfen wird

Antwort

Themen zu Verschlüsselungstrojaner hat auch mich erwischt
.dll, administrator, avg, avira, bereit, desktop, device driver, e-banking, explorer, failed, geld, glom0, google earth, heuristiks/extra, heuristiks/shuriken, infiziert, internet, juli 2012, langs, löschen, microsoft, modul, namen, netzwerkstecker, neu, neu aufsetzen, neustart, problem, programm, prozesse, registry, scan ausgeführt, searchscopes, software, svchost.exe, verweise, warnung, warum, windows, wiso



Ähnliche Themen: Verschlüsselungstrojaner hat auch mich erwischt


  1. GVU Tronjaner hat auch mich erwischt
    Log-Analyse und Auswertung - 02.09.2013 (23)
  2. Auch mich hat es erwischt.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (26)
  3. GVU - hat mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 18.12.2012 (7)
  4. Windows Verschlüsselungstrojaner - auch mich hats erwischt!
    Log-Analyse und Auswertung - 06.07.2012 (7)
  5. Verschlüsselungstrojaner hat mich erwischt
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  6. Verschlüsselungstrojaner nun hat es mich auch erwischt!
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  7. Windows Verschlüsselungstrojaner hat mich erwischt
    Log-Analyse und Auswertung - 22.05.2012 (3)
  8. Mich hat's auch erwischt - AKM Virus
    Log-Analyse und Auswertung - 19.05.2012 (31)
  9. Verschlüsselungstrojaner hat auch mich erwischt
    Log-Analyse und Auswertung - 27.04.2012 (2)
  10. SMART HDD nun hat es mich auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 15.04.2012 (1)
  11. BKA hat mich nun auch erwischt
    Log-Analyse und Auswertung - 17.08.2011 (7)
  12. HDD LOW hat mich auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 29.12.2010 (19)
  13. Nun hat es mich auch erwischt
    Log-Analyse und Auswertung - 21.03.2010 (10)
  14. Jetzt hat's mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (14)
  15. auch mich hat es erwischt!
    Log-Analyse und Auswertung - 05.03.2005 (2)
  16. Auch mich hat es erwischt !
    Log-Analyse und Auswertung - 07.11.2004 (3)
  17. Mich hat´s jetzt auch erwischt...
    Log-Analyse und Auswertung - 18.08.2004 (2)

Zum Thema Verschlüsselungstrojaner hat auch mich erwischt - Letztes update: Habe die Logs immer mit Quote und nicht mit Code eingefügt.... Wer lesen kann ist klar im Vorteil ;-) Hoffe eure Regeln alle befolgt zu haben Hallo, leider - Verschlüsselungstrojaner hat auch mich erwischt...
Archiv
Du betrachtest: Verschlüsselungstrojaner hat auch mich erwischt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.