Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Groupon Trojaner - wie prüfe ich das System richtig?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.03.2013, 19:37   #1
tommes77
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Hallo zusammen,

am 07.03. habe ich leider die gefälscht Groupon-E-Mail geöffnet und den Dateianhang ebenfalls. Der Trojaner hat sich auch schnell bemerkbar gemacht, weil Avira mehrfach Alarm geschlagen und einige Dateien entfernt hat. Ich bin aber nicht sicher, ob doch noch irgendwo etwas schlummert. Avira und Malwarebytes können seit dem 09.03. nichts mehr finden. Aber ZoneAlarm hat an dem Tag immernoch einige auffällige Zugriffe geblockt, wie man in den Logs unten sehen kann. Ich habe im Eifer des Gefechts auch Dateien und Ordner, die ich für gefährlich hielt, selbst gelöscht und den Papierkorb geleert. Das nur als Info. Im Nachhinein betrachtet, war das wahrscheinlich nicht so gut.

Hier nun alle Logs von Avira und ZoneAlarm, die Funde/Zugriffe aufweisen.

Avira 07.03. 14:54 Uhr
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 7. März 2013  14:54


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Enterprise
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MAGIRUS-DEUTZ

Versionsinformationen:
BUILD.DAT      : 13.0.0.3185    47702 Bytes  30.01.2013 10:05:00
AVSCAN.EXE     : 13.6.0.584    640224 Bytes  26.02.2013 12:37:31
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  26.02.2013 12:37:31
LUKE.DLL       : 13.6.0.602     67808 Bytes  26.02.2013 12:37:52
AVSCPLR.DLL    : 13.6.0.628     94432 Bytes  26.02.2013 12:38:28
AVREG.DLL      : 13.6.0.600    250592 Bytes  26.02.2013 12:38:28
avlode.dll     : 13.6.2.624    434912 Bytes  26.02.2013 12:38:29
avlode.rdf     : 13.0.0.38      15231 Bytes  26.02.2013 12:38:28
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:38:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 20:14:12
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 16:45:40
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:17:49
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 19:42:26
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 17:32:52
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 17:13:36
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 17:13:36
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 17:13:36
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 17:13:36
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 17:13:36
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 17:13:37
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 17:13:37
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 17:22:04
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 18:05:35
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 18:52:19
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 21:16:27
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 21:16:27
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 21:16:28
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 21:30:12
VBASE022.VDF   : 7.11.62.111   136192 Bytes  23.02.2013 11:30:49
VBASE023.VDF   : 7.11.62.157   143360 Bytes  25.02.2013 14:06:15
VBASE024.VDF   : 7.11.62.237   199168 Bytes  27.02.2013 08:28:00
VBASE025.VDF   : 7.11.63.71    209408 Bytes  01.03.2013 23:20:08
VBASE026.VDF   : 7.11.63.121   257536 Bytes  04.03.2013 13:50:39
VBASE027.VDF   : 7.11.63.211   212480 Bytes  06.03.2013 12:59:01
VBASE028.VDF   : 7.11.63.212     2048 Bytes  06.03.2013 12:59:01
VBASE029.VDF   : 7.11.63.213     2048 Bytes  06.03.2013 12:59:01
VBASE030.VDF   : 7.11.63.214     2048 Bytes  06.03.2013 12:59:01
VBASE031.VDF   : 7.11.63.230    26624 Bytes  06.03.2013 20:31:27
Engineversion  : 8.2.12.10 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 12:17:33
AESCRIPT.DLL   : 8.1.4.94      467324 Bytes  24.02.2013 11:30:54
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 13:58:22
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 15:29:45
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 13:51:29
AEPACK.DLL     : 8.3.1.12      815480 Bytes  28.02.2013 19:49:27
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 15:40:51
AEHEUR.DLL     : 8.1.4.222    5767545 Bytes  28.02.2013 19:49:26
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 08:28:57
AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 10:08:48
AEEXP.DLL      : 8.4.0.6       192885 Bytes  28.02.2013 19:49:27
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 12:17:33
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 21:16:28
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:40:45
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  26.02.2013 12:36:55
AVPREF.DLL     : 13.6.0.480     51056 Bytes  26.02.2013 12:37:30
AVREP.DLL      : 13.6.0.480    178544 Bytes  26.02.2013 12:38:28
AVARKT.DLL     : 13.6.0.624    260832 Bytes  26.02.2013 12:37:25
AVEVTLOG.DLL   : 13.6.0.600    167648 Bytes  26.02.2013 12:37:28
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  26.02.2013 12:38:09
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  26.02.2013 12:37:32
NETNT.DLL      : 13.6.0.480     16240 Bytes  26.02.2013 12:38:00
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  26.02.2013 12:36:57
RCTEXT.DLL     : 13.6.0.480     68976 Bytes  26.02.2013 12:36:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_51389bc1\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 7. März 2013  14:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCore.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxWebAccess.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'KB00617309.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe'
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bykmrlkt> wurde erfolgreich entfernt.
C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55430c40.qua' verschoben!
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bykmrlkt> wurde erfolgreich repariert.


Ende des Suchlaufs: Donnerstag, 7. März 2013  14:55
Benötigte Zeit: 00:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    985 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    984 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         
Avira 08.03. 15:24 Uhr
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 8. März 2013  15:24


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Enterprise
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MAGIRUS-DEUTZ

Versionsinformationen:
BUILD.DAT      : 13.0.0.3185    47702 Bytes  30.01.2013 10:05:00
AVSCAN.EXE     : 13.6.0.584    640224 Bytes  26.02.2013 12:37:31
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  26.02.2013 12:37:31
LUKE.DLL       : 13.6.0.602     67808 Bytes  26.02.2013 12:37:52
AVSCPLR.DLL    : 13.6.0.628     94432 Bytes  26.02.2013 12:38:28
AVREG.DLL      : 13.6.0.600    250592 Bytes  26.02.2013 12:38:28
avlode.dll     : 13.6.2.624    434912 Bytes  26.02.2013 12:38:29
avlode.rdf     : 13.0.0.38      15231 Bytes  26.02.2013 12:38:28
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:38:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 20:14:12
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 16:45:40
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:17:49
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 19:42:26
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 17:32:52
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 17:13:36
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 17:13:36
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 17:13:36
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 17:13:36
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 17:13:36
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 17:13:37
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 17:13:37
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 17:22:04
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 18:05:35
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 18:52:19
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 21:16:27
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 21:16:27
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 21:16:28
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 21:30:12
VBASE022.VDF   : 7.11.62.111   136192 Bytes  23.02.2013 11:30:49
VBASE023.VDF   : 7.11.62.157   143360 Bytes  25.02.2013 14:06:15
VBASE024.VDF   : 7.11.62.237   199168 Bytes  27.02.2013 08:28:00
VBASE025.VDF   : 7.11.63.71    209408 Bytes  01.03.2013 23:20:08
VBASE026.VDF   : 7.11.63.121   257536 Bytes  04.03.2013 13:50:39
VBASE027.VDF   : 7.11.63.211   212480 Bytes  06.03.2013 12:59:01
VBASE028.VDF   : 7.11.64.21    198656 Bytes  08.03.2013 12:43:07
VBASE029.VDF   : 7.11.64.22      2048 Bytes  08.03.2013 12:43:08
VBASE030.VDF   : 7.11.64.23      2048 Bytes  08.03.2013 12:43:08
VBASE031.VDF   : 7.11.64.32     10752 Bytes  08.03.2013 12:43:08
Engineversion  : 8.2.12.14 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 12:17:33
AESCRIPT.DLL   : 8.1.4.96      471420 Bytes  08.03.2013 12:43:14
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 13:58:22
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 15:29:45
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 13:51:29
AEPACK.DLL     : 8.3.2.0       827767 Bytes  08.03.2013 12:43:13
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 12:43:12
AEHEUR.DLL     : 8.1.4.236    5833081 Bytes  08.03.2013 12:43:12
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 08:28:57
AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 10:08:48
AEEXP.DLL      : 8.4.0.10      192886 Bytes  08.03.2013 12:43:14
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 12:17:33
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 21:16:28
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:40:45
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  26.02.2013 12:36:55
AVPREF.DLL     : 13.6.0.480     51056 Bytes  26.02.2013 12:37:30
AVREP.DLL      : 13.6.0.480    178544 Bytes  26.02.2013 12:38:28
AVARKT.DLL     : 13.6.0.624    260832 Bytes  26.02.2013 12:37:25
AVEVTLOG.DLL   : 13.6.0.600    167648 Bytes  26.02.2013 12:37:28
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  26.02.2013 12:38:09
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  26.02.2013 12:37:32
NETNT.DLL      : 13.6.0.480     16240 Bytes  26.02.2013 12:38:00
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  26.02.2013 12:36:57
RCTEXT.DLL     : 13.6.0.480     68976 Bytes  26.02.2013 12:36:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5139f430\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 8. März 2013  15:24

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCore.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'peoze.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxWebAccess.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Xyz\AppData\Roaming\defqu.exe'
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert.
C:\Users\Xyz\AppData\Roaming\defqu.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.B.16
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59c56ac0.qua' verschoben!
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defqu> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 8. März 2013  15:25
Benötigte Zeit: 00:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    983 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    982 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         
Avira 08.03. 16:01 Uhr
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 8. März 2013  16:01


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Enterprise
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MAGIRUS-DEUTZ

Versionsinformationen:
BUILD.DAT      : 13.0.0.3185    47702 Bytes  30.01.2013 10:05:00
AVSCAN.EXE     : 13.6.0.584    640224 Bytes  26.02.2013 12:37:31
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  26.02.2013 12:37:31
LUKE.DLL       : 13.6.0.602     67808 Bytes  26.02.2013 12:37:52
AVSCPLR.DLL    : 13.6.0.628     94432 Bytes  26.02.2013 12:38:28
AVREG.DLL      : 13.6.0.600    250592 Bytes  26.02.2013 12:38:28
avlode.dll     : 13.6.2.624    434912 Bytes  26.02.2013 12:38:29
avlode.rdf     : 13.0.0.38      15231 Bytes  26.02.2013 12:38:28
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:38:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 20:14:12
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 16:45:40
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:17:49
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 19:42:26
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 17:32:52
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 17:13:36
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 17:13:36
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 17:13:36
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 17:13:36
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 17:13:36
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 17:13:37
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 17:13:37
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 17:22:04
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 18:05:35
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 18:52:19
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 21:16:27
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 21:16:27
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 21:16:28
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 21:30:12
VBASE022.VDF   : 7.11.62.111   136192 Bytes  23.02.2013 11:30:49
VBASE023.VDF   : 7.11.62.157   143360 Bytes  25.02.2013 14:06:15
VBASE024.VDF   : 7.11.62.237   199168 Bytes  27.02.2013 08:28:00
VBASE025.VDF   : 7.11.63.71    209408 Bytes  01.03.2013 23:20:08
VBASE026.VDF   : 7.11.63.121   257536 Bytes  04.03.2013 13:50:39
VBASE027.VDF   : 7.11.63.211   212480 Bytes  06.03.2013 12:59:01
VBASE028.VDF   : 7.11.64.21    198656 Bytes  08.03.2013 12:43:07
VBASE029.VDF   : 7.11.64.22      2048 Bytes  08.03.2013 12:43:08
VBASE030.VDF   : 7.11.64.23      2048 Bytes  08.03.2013 12:43:08
VBASE031.VDF   : 7.11.64.32     10752 Bytes  08.03.2013 12:43:08
Engineversion  : 8.2.12.14 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 12:17:33
AESCRIPT.DLL   : 8.1.4.96      471420 Bytes  08.03.2013 12:43:14
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 13:58:22
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 15:29:45
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 13:51:29
AEPACK.DLL     : 8.3.2.0       827767 Bytes  08.03.2013 12:43:13
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 12:43:12
AEHEUR.DLL     : 8.1.4.236    5833081 Bytes  08.03.2013 12:43:12
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 08:28:57
AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 10:08:48
AEEXP.DLL      : 8.4.0.10      192886 Bytes  08.03.2013 12:43:14
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 12:17:33
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 21:16:28
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:40:45
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  26.02.2013 12:36:55
AVPREF.DLL     : 13.6.0.480     51056 Bytes  26.02.2013 12:37:30
AVREP.DLL      : 13.6.0.480    178544 Bytes  26.02.2013 12:38:28
AVARKT.DLL     : 13.6.0.624    260832 Bytes  26.02.2013 12:37:25
AVEVTLOG.DLL   : 13.6.0.600    167648 Bytes  26.02.2013 12:37:28
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  26.02.2013 12:38:09
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  26.02.2013 12:37:32
NETNT.DLL      : 13.6.0.480     16240 Bytes  26.02.2013 12:38:00
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  26.02.2013 12:36:57
RCTEXT.DLL     : 13.6.0.480     68976 Bytes  26.02.2013 12:36:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 8. März 2013  16:01

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '187' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCore.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'peoze.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4516' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RBIY835.zip
    [0] Archivtyp: ZIP
    --> Groupon GmbH Rechnung 06.03.2013.zip
        [1] Archivtyp: ZIP
      --> Groupon GmbH Rechnung 06.03.2013.com
          [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RQVCVWX.zip
    [0] Archivtyp: ZIP
    --> Groupon GmbH Rechnung 06.03.2013.zip
        [1] Archivtyp: ZIP
      --> Groupon GmbH Rechnung 06.03.2013.com
          [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RW494ZB.zip
    [0] Archivtyp: ZIP
    --> Groupon GmbH Rechnung 06.03.2013.zip
        [1] Archivtyp: ZIP
      --> Groupon GmbH Rechnung 06.03.2013.com
          [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RZLKY9K.zip
    [0] Archivtyp: ZIP
    --> Groupon GmbH Rechnung 06.03.2013.com
        [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Xyz\AppData\Local\Temp\fbyrdwhyvt.pre
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
C:\Users\Xyz\AppData\Local\Temp\jqpwzyhpxr.pre
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
C:\Users\Xyz\AppData\Local\Temp\qckzzzyyyr.pre
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
C:\Users\Xyz\AppData\Local\Temp\{F1AE-49F828-49FC28}
  [FUND]      Ist das Trojanische Pferd TR/Jorik.Bublik.ca
C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe
  [FUND]      Ist das Trojanische Pferd TR/Yakes.cnnh
Beginne mit der Suche in 'D:\' <Tomcat>
    [0] Archivtyp: Runtime Packed
    --> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RK5XOVU\DeepRipper1.exe
        [1] Archivtyp: Runtime Packed
      --> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Audio-Tools\FreeRIP 2.90\freerip 2.90.exe
          [2] Archivtyp: Inno Setup
        --> {app}\s4Setp.exe
            [3] Archivtyp: RSRC
          --> AV0004c9e3.AV$
              [4] Archivtyp: RSRC
            --> Object
                [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Excite.A.3
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
            --> Object
                [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Toolbar.MyWay.F.2
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
          --> Object
              [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MySearch.J
              [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Audio-Tools\FreeRIP 2.90\freerip 2.90.exe
  [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MySearch.J
      --> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Flight Sim 2004\FS 2004  Update+Downloads\FSUIPC.zip
          [2] Archivtyp: ZIP
        --> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Flight Sim 2004\FS 2004  Update+Downloads\FSUIPCalt.zip
            [3] Archivtyp: ZIP
          --> D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Toca 2 Touring Car\Toca 2 Touring Car.rar
              [4] Archivtyp: RAR
            --> Toca 2 Touring Car\setup.exe
                [FUND]      Ist das Trojanische Pferd TR/Win9x.Flashkiller.G
                [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Toca 2 Touring Car\Toca 2 Touring Car.rar
  [FUND]      Ist das Trojanische Pferd TR/Win9x.Flashkiller.G

Beginne mit der Desinfektion:
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Games Saves+Updates\Toca 2 Touring Car\Toca 2 Touring Car.rar
  [FUND]      Ist das Trojanische Pferd TR/Win9x.Flashkiller.G
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Fehler in der ARK Library
  [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
D:\$RECYCLE.BIN\S-1-5-21-1361207739-1556906825-1250651497-1000\$RNV4LWS\Audio-Tools\FreeRIP 2.90\freerip 2.90.exe
  [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/MySearch.J
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Fehler in der ARK Library
  [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\Users\Xyz\AppData\Roaming\Hmdbe\mddddyrlkt.exe
  [FUND]      Ist das Trojanische Pferd TR/Yakes.cnnh
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c1ac14b.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\{F1AE-49F828-49FC28}
  [FUND]      Ist das Trojanische Pferd TR/Jorik.Bublik.ca
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ad88eaf.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\qckzzzyyyr.pre
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3f92a3b6.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\jqpwzyhpxr.pre
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '408691c5.qua' verschoben!
C:\Users\Xyz\AppData\Local\Temp\fbyrdwhyvt.pre
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c27bd9e.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RZLKY9K.zip
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RW494ZB.zip
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RQVCVWX.zip
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1361207739-1556906825-1250651497-1000\$RBIY835.zip
  [FUND]      Ist das Trojanische Pferd TR/Inject.FZ
  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]   Die Datei existiert nicht!


Ende des Suchlaufs: Freitag, 8. März 2013  17:49
Benötigte Zeit:  1:35:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  31576 Verzeichnisse wurden überprüft
 1014704 Dateien wurden geprüft
     15 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1014689 Dateien ohne Befall
  13556 Archive wurden durchsucht
     10 Warnungen
     11 Hinweise
 1210462 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Die Reparaturanweisungen wurden in die Datei 'D:\avrescue\rescue.avp' geschrieben.
         
Avira 08.03. 20:22 Uhr
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 8. März 2013  20:22


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Enterprise
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MAGIRUS-DEUTZ

Versionsinformationen:
BUILD.DAT      : 13.0.0.3185    47702 Bytes  30.01.2013 10:05:00
AVSCAN.EXE     : 13.6.0.584    640224 Bytes  26.02.2013 12:37:31
AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  26.02.2013 12:37:31
LUKE.DLL       : 13.6.0.602     67808 Bytes  26.02.2013 12:37:52
AVSCPLR.DLL    : 13.6.0.628     94432 Bytes  26.02.2013 12:38:28
AVREG.DLL      : 13.6.0.600    250592 Bytes  26.02.2013 12:38:28
avlode.dll     : 13.6.2.624    434912 Bytes  26.02.2013 12:38:29
avlode.rdf     : 13.0.0.38      15231 Bytes  26.02.2013 12:38:28
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 10:38:39
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 20:14:12
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 16:45:40
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 11:17:49
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 19:42:26
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 17:32:52
VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 17:13:36
VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 17:13:36
VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 17:13:36
VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 17:13:36
VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 17:13:36
VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 17:13:37
VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 17:13:37
VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 17:22:04
VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 18:05:35
VBASE017.VDF   : 7.11.61.65    151040 Bytes  15.02.2013 18:52:19
VBASE018.VDF   : 7.11.61.135   159232 Bytes  18.02.2013 21:16:27
VBASE019.VDF   : 7.11.61.163   152064 Bytes  18.02.2013 21:16:27
VBASE020.VDF   : 7.11.61.207   164352 Bytes  19.02.2013 21:16:28
VBASE021.VDF   : 7.11.62.43    206336 Bytes  21.02.2013 21:30:12
VBASE022.VDF   : 7.11.62.111   136192 Bytes  23.02.2013 11:30:49
VBASE023.VDF   : 7.11.62.157   143360 Bytes  25.02.2013 14:06:15
VBASE024.VDF   : 7.11.62.237   199168 Bytes  27.02.2013 08:28:00
VBASE025.VDF   : 7.11.63.71    209408 Bytes  01.03.2013 23:20:08
VBASE026.VDF   : 7.11.63.121   257536 Bytes  04.03.2013 13:50:39
VBASE027.VDF   : 7.11.63.211   212480 Bytes  06.03.2013 12:59:01
VBASE028.VDF   : 7.11.64.21    198656 Bytes  08.03.2013 12:43:07
VBASE029.VDF   : 7.11.64.22      2048 Bytes  08.03.2013 12:43:08
VBASE030.VDF   : 7.11.64.23      2048 Bytes  08.03.2013 12:43:08
VBASE031.VDF   : 7.11.64.40     76288 Bytes  08.03.2013 18:43:06
Engineversion  : 8.2.12.14 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 12:17:33
AESCRIPT.DLL   : 8.1.4.96      471420 Bytes  08.03.2013 12:43:14
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 13:58:22
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 15:29:45
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 13:51:29
AEPACK.DLL     : 8.3.2.0       827767 Bytes  08.03.2013 12:43:13
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 12:43:12
AEHEUR.DLL     : 8.1.4.236    5833081 Bytes  08.03.2013 12:43:12
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 08:28:57
AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 10:08:48
AEEXP.DLL      : 8.4.0.10      192886 Bytes  08.03.2013 12:43:14
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 12:17:33
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 21:16:28
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:40:45
AVWINLL.DLL    : 13.6.0.480     26480 Bytes  26.02.2013 12:36:55
AVPREF.DLL     : 13.6.0.480     51056 Bytes  26.02.2013 12:37:30
AVREP.DLL      : 13.6.0.480    178544 Bytes  26.02.2013 12:38:28
AVARKT.DLL     : 13.6.0.624    260832 Bytes  26.02.2013 12:37:25
AVEVTLOG.DLL   : 13.6.0.600    167648 Bytes  26.02.2013 12:37:28
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  26.02.2013 12:38:09
AVSMTP.DLL     : 13.6.0.480     62832 Bytes  26.02.2013 12:37:32
NETNT.DLL      : 13.6.0.480     16240 Bytes  26.02.2013 12:38:00
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  26.02.2013 12:36:57
RCTEXT.DLL     : 13.6.0.480     68976 Bytes  26.02.2013 12:36:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_513a1714\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 8. März 2013  20:22
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1361207739-1556906825-1250651497-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KB00617309.exe> wurde erfolgreich entfernt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'ForceField.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ProfilerU.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SaiMfd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCore.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'KB00617309.exe' - '80' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Xyz\AppData\Roaming\KB00617309.exe>
  [FUND]      Ist das Trojanische Pferd TR/Agent.94208.66
  [HINWEIS]   Prozess 'KB00617309.exe' wurde beendet
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Durchsuche Prozess 'VDeck.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'peoze.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNSEMAIN.EXE' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht


Ende des Suchlaufs: Freitag, 8. März 2013  20:24
Benötigte Zeit: 02:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   5788 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   5786 Dateien ohne Befall
     82 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         
Zone Alarm
Code:
ATTFilter
ZoneAlarm Protokoll-Client v11.0.000.038
Windows 7 x64-6.1.7600--SMP
Typ,Datum,Uhrzeit,Quelle,Ziel,Transport (Sicherheit)
Typ,Datum,Uhrzeit,Virusname,Dateiname,Modus,E-Mail-ID (Anti-Virus)
Typ,Datum,Uhrzeit,Quelle,Ziel,Aktion,Dienst (IM-Sicherheit)
Typ,Datum,Uhrzeit,Quelle,Ziel,Programm,Aktion (Schutz gegen gefährlichen Code)
Typ,Datum,Uhrzeit,Aktion,Produkt,Datei,Ereignis,Unterereignis,Klasse,Daten,Daten,… (OSFirewall)
Typ,Datum,Uhrzeit,Name,Typ,Modus (Anti-Spyware)
FWOUT,2013/03/03,10:13:24 +1:00 GMT,192.168.2.222:51697,23.14.94.26:80,TCP (flags:S),hxxp://fwalerts.zonealarm.com/fwalerts/fwanalyze.jsp?V103=AcCoAt4XDl4ayfEAAABQAAABAAAAAQAAAAIAAAABAAAAoYYBADAxMDIHBAIAAQANAQK8g/4BAAAAAAABQAAA//8B+ZLN25527996472160-1001,,,,Windows+7+x64-6.1.7600--SMP,11.0.000.038,ExtBlockAll2,j5hvqhisiu3s4he7bhx644bu4g0,2,,&CL=de&OEM=1025&SKU=0&Mode=6&Product=ZoneAlarm
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/06,15:14:40 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/06,16:31:48 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/06,17:40:08 +1:00 GMT,CTF Loader wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
PE,2013/03/07,14:53:58 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=35000000ccd78703ae690b6148f0bf04&SKIMP=35000000ccd78703ae690b6148f0bf04&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
PE,2013/03/07,14:53:58 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=KB00617309.exe&VER=07.03.2013+14%3A53%3A42&FN=KB00617309.exe&Created=426776b5&Size=125440&MD5=911dd25fdf2a0726baab1ae14ca0b073&SKIMP=e6e875af0f76770d70537c4e814cd487&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/07,14:54:06 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
PE,2013/03/07,15:04:24 +1:00 GMT,Spread BTP-Bund,C:\Users\Xyz\AppData\Roaming\Qiemow\peoze.exe,0.0.0.0:16242,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=35000000d4d88703ae690b6168f4bf04&SKIMP=35000000d4d88703ae690b6168f4bf04&&RIPA=&LP=29247&Connect=2&Pgmstatus=3&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
PE,2013/03/07,15:04:24 +1:00 GMT,Spread BTP-Bund,C:\Users\Xyz\AppData\Roaming\Qiemow\peoze.exe,54.248.20.255:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=Spread+BTP-Bund&VER=1.00.0002&FN=peoze.exe&Created=409b1a8a&Size=286720&MD5=0c352414057d8bdb9763225ed94c6dc5&SKIMP=12426580313209b1556b4aed345c4e07&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/07,15:04:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:04:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:04:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:04:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:05:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,15:34:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:00:44 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (142.11.195.196:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:04:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/07,16:05:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:54:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/07,20:56:12 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:10:18 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:55:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/07,21:56:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
PE,2013/03/07,22:07:04 +1:00 GMT,bie_kms.exe,C:\Users\Xyz\AppData\Local\Temp\RarSFX1\bie_kms.exe,0.0.0.0:1688,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=3500000050d8ed05ae69a661d856c204&SKIMP=3500000050d8ed05ae69a661d856c204&&RIPA=&LP=38918&Connect=2&Pgmstatus=3&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/08,13:39:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:50 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:39:56 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/08,13:40:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:14 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:24 +1:00 GMT,KB00617309.exe wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (184.82.177.15:HTTP).,N/A,N/A
ACCESS,2013/03/08,15:24:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,16:28:58 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:28:46 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:29:06 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
PE,2013/03/08,17:52:36 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=&VER=&FN=&Size=0&MD5=35000000e4dd7306ae6914615830be04&SKIMP=35000000e4dd7306ae6914615830be04&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
PE,2013/03/08,17:52:36 +1:00 GMT,KB00617309.exe,C:\Users\Xyz\AppData\Roaming\KB00617309.exe,184.82.177.15:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=KB00617309.exe&VER=1.5.8.7&FN=KB00617309.exe&Created=42687b18&Size=91136&MD5=ef0e291414e6e8848985f14c3c1d056c&SKIMP=8436a804e85db6ad59bb850ac41e8eda&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/08,17:52:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,17:52:56 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:52:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,18:53:08 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:22:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:52:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,19:53:12 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:22:54 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:27:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,20:28:00 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:18 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,21:29:38 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/08,22:29:48 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:16 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:18:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,10:19:12 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:22 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,11:43:32 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:26 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:28 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,13:34:52 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
FWOUT,2013/03/09,10:17:18 +1:00 GMT,192.168.2.222:49728,23.14.94.26:80,TCP (flags:S),hxxp://fwalerts.zonealarm.com/fwalerts/fwanalyze.jsp?V103=AcCoAt4XDl4awkAAAABQAAABAAAAAQAAAAIAAAABAAAAoYYBADAxMDIHBAIAAQANAQJRKLUAAAAAAAABQAAA//8B+ZLN25527996472160-1001,,,,Windows+7+x64-6.1.7600--SMP,11.0.000.038,ExtBlockAll2,j5hvqhisiu3s4he7bhx644bu4g0,2,,&CL=de&OEM=1025&SKU=0&Mode=6&Product=ZoneAlarm
ACCESS,2013/03/09,13:35:34 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:42 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:34:56 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,14:35:36 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:40 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:34:42 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:35:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
ACCESS,2013/03/09,15:35:42 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (54.248.20.255:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (88.198.159.107:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:02 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (101.99.23.176:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:04 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (177.99.210.3:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:10 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (151.155.24.150:HTTP).,N/A,N/A
ACCESS,2013/03/09,16:38:20 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, das Internet (50.62.12.103:HTTP).,N/A,N/A
PE,2013/03/09,17:22:12 +1:00 GMT,Spread BTP-Bund,C:\Users\Xyz\AppData\Roaming\Qiemow\peoze.exe,192.168.2.1:80,N/A,hxxp://pralerts.zonealarm.com/pralerts/pranalyze.jsp?PN=Spread+BTP-Bund&VER=1.00.0002&FN=peoze.exe&Created=409b1a8a&Size=286720&MD5=0c352414057d8bdb9763225ed94c6dc5&SKIMP=12426580313209b1556b4aed345c4e07&&RIPA=&RP=20480&Connect=1&Pgmstatus=1&Zone=1&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=11.0.000.038&HU100=ZLN25527996472160-1001&CL=de&OEM=1025&SKU=0&Mode=6&QSRC=1&PU=1&OS=Windows+7+x64-6.1.7600--SMP&LANG=1031
ACCESS,2013/03/09,17:22:44 +1:00 GMT,Spread BTP-Bund wurde blockiert von eine Verbindung hergestellt hat, um, lokale Zone (192.168.2.1:HTTP).,N/A,N/A
         
Ich hoffe, ihr könnt mich anleiten, wie ich prüfen kann, ob noch irgendwo im System der Trojaner vorhanden ist.
Vielen Dank schonmal vorb. Tolle Arbeit, die Ihr hier leistet. Ist echt gut zu wissen, daß es Euch gibt und Ihr den Usern bei der Schädlingsbekämpfung helft.

Danke & Gruß
tommes77

Alt 11.03.2013, 19:41   #2
tommes77
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Hallo nochmal,

da der Eintrag zu lang war hier nun der Rest meiner Daten:

Defogger habe ich ausgeführt. Wann darf ich denn eigentlich wieder Re-Enable drücken?

OTL hat folgendes ausgespuckt:

Code:
ATTFilter
OTL logfile created on: 11.03.2013 18:19:17 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\xyz\Desktop
64bit- Enterprise Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,68 Gb Available Physical Memory | 66,96% Memory free
7,99 Gb Paging File | 5,90 Gb Available in Paging File | 73,79% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 127,99 Gb Total Space | 52,05 Gb Free Space | 40,67% Space Free | Partition Type: NTFS
Drive D: | 337,77 Gb Total Space | 126,27 Gb Free Space | 37,38% Space Free | Partition Type: NTFS
Drive E: | 201,63 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: MAGIRUS-DEUTZ | User Name: xyz | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe
PRC - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe
PRC - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.02.26 13:37:28 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe
PRC - [2013.01.02 13:38:50 | 000,073,984 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe
PRC - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2011.09.16 14:39:24 | 000,115,048 | ---- | M] (Renesas Electronics Corporation) -- C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
PRC - [2010.04.02 09:18:54 | 001,185,112 | ---- | M] (CANON INC.) -- C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2007.06.27 19:04:00 | 001,213,736 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
PRC - [2007.06.27 19:03:40 | 000,152,872 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe
MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2011.11.10 04:11:32 | 000,204,288 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2011.11.09 22:08:52 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service)
SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon)
SRV - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.11.22 15:35:22 | 000,828,072 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)
DRV:64bit: - [2012.12.13 11:49:42 | 000,450,136 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\vsdatant.sys -- (Vsdatant)
DRV:64bit: - [2012.02.15 10:01:50 | 000,052,736 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbaapl64.sys -- (USBAAPL64)
DRV:64bit: - [2011.11.10 04:45:30 | 010,567,680 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2011.11.10 03:12:44 | 000,325,632 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2011.10.25 09:57:38 | 000,213,504 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3xhc.sys -- (nusb3xhc)
DRV:64bit: - [2011.10.25 09:57:38 | 000,096,768 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3hub.sys -- (nusb3hub)
DRV:64bit: - [2011.10.24 17:39:54 | 000,066,328 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGSHidFilt.Sys -- (LGSHidFilt)
DRV:64bit: - [2011.10.17 18:40:50 | 000,093,712 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService)
DRV:64bit: - [2010.05.31 11:46:50 | 000,333,928 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2010.03.02 19:30:20 | 001,301,504 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV:64bit: - [2010.02.18 09:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\amdiox64.sys -- (amdiox64)
DRV:64bit: - [2009.12.22 02:26:36 | 000,038,456 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\usbfilter.sys -- (usbfilter)
DRV:64bit: - [2009.11.24 02:38:00 | 000,016,008 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGVirHid.sys -- (LGVirHid)
DRV:64bit: - [2009.11.24 02:37:50 | 000,022,408 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGBusEnum.sys -- (LGBusEnum)
DRV:64bit: - [2009.07.14 02:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2009.07.14 02:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 02:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009.06.10 11:14:36 | 000,043,264 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiBus.sys -- (SaiNtBus)
DRV:64bit: - [2009.06.10 11:14:36 | 000,016,000 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiMini.sys -- (SaiMini)
DRV:64bit: - [2009.05.18 12:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV:64bit: - [2009.05.05 09:00:28 | 000,016,440 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\AtiPcie.sys -- (AtiPcie)
DRV:64bit: - [2007.05.01 16:10:50 | 000,171,144 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiH075C.sys -- (SaiH075C)
DRV - [2012.11.22 15:35:36 | 000,033,712 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - [2011.06.24 06:31:02 | 000,055,424 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.01)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 5C 5D EC 76 67 97 CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledAddons: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3
FF - prefs.js..extensions.enabledAddons: {0b457cAA-602d-484a-8fe7-c1d894a011ba}:0.98.28
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Tools\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.15.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.15.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\TRUSTCHECKER [2013.02.26 13:51:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker [2013.02.26 13:51:16 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.10.22 16:49:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
 
[2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions
[2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions\ideskbrowser@haufe.de
[2013.02.15 23:34:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions
[2013.02.15 23:34:29 | 000,000,000 | ---D | M] (FireShot) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}
[2012.01.21 14:13:43 | 000,634,964 | ---- | M] () (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\firefox\profiles\copq34t7.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.09.04 18:11:59 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2011.12.21 08:42:29 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.12.21 06:08:50 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.12.21 06:02:40 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2011.12.21 06:08:50 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2011.12.21 06:08:50 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.12.21 06:08:50 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.12.21 06:08:50 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR - homepage: hxxp://www.google.com/
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\gcswf32.dll
CHR - plugin: Shockwave Flash (Disabled) = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin7.dll
CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll
CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: npFFApi (Enabled) = C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll
CHR - plugin: iTunes Application Detector (Enabled) = C:\Tools\iTunes\Mozilla Plugins\npitunes.dll
CHR - Extension: The Vampire Diaries 001 = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkkhfjdehckdomepilagalhldddpcakk\1_0\
CHR - Extension: YouTube = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: Google-Suche = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: Google Mail = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2012.01.21 14:39:29 | 000,442,426 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.1001-search.info
O1 - Hosts: 127.0.0.1	1001-search.info
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.123topsearch.com
O1 - Hosts: 127.0.0.1	123topsearch.com
O1 - Hosts: 127.0.0.1	www.132.com
O1 - Hosts: 127.0.0.1	132.com
O1 - Hosts: 127.0.0.1	www.136136.net
O1 - Hosts: 127.0.0.1	136136.net
O1 - Hosts: 127.0.0.1	www.139mm.com
O1 - Hosts: 15215 more lines...
O2:64bit: - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3:64bit: - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O4:64bit: - HKLM..\Run: [Easy-PrintToolBox] C:\Program Files (x86)\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.)
O4:64bit: - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [ProfilerU] C:\Programme\Saitek\SD6\Software\ProfilerU.exe (Saitek)
O4:64bit: - HKLM..\Run: [SaiMfd] C:\Programme\Saitek\SD6\Software\SaiMfd.exe (Saitek)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE (CANON INC.)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
O4 - HKLM..\Run: [LexwareInfoService] C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG)
O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [ZoneAlarm] C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [Ommogykey] C:\Users\xyz\AppData\Roaming\Qiemow\peoze.exe File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C9214DFD-7FC3-44F1-8CDF-D766F740A42E}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\haufereader - No CLSID value found
O18:64bit: - Protocol\Handler\ipp - No CLSID value found
O18:64bit: - Protocol\Handler\ipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.11 18:14:59 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe
[2013.03.10 23:37:26 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Malwarebytes
[2013.03.10 23:37:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.03.10 23:37:10 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.03.10 23:37:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.03.10 23:36:44 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\Programs
[2013.03.03 19:46:04 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QuickSteuer 2012
[2013.02.28 13:01:15 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WBFSManager
[2013.02.28 13:00:03 | 000,000,000 | ---D | C] -- C:\Users\xyz\Documents\WBFS Manager Covers
[2013.02.26 13:50:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Check Point
[2013.02.26 13:48:22 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Avira
[2013.02.26 13:43:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.02.26 13:42:51 | 000,129,216 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2013.02.26 13:42:51 | 000,099,912 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2013.02.26 13:42:51 | 000,027,800 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
[2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Avira
[2013.02.17 13:29:06 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WinZip
[2013.02.17 13:28:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
[2013.02.17 13:28:36 | 000,000,000 | ---D | C] -- C:\ProgramData\WinZip
[2013.02.15 23:40:10 | 000,000,000 | -HSD | C] -- C:\ProgramData\System Restore
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe
[2013.03.11 18:14:23 | 000,000,000 | ---- | M] () -- C:\Users\xyz\defogger_reenable
[2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe
[2013.03.11 17:48:00 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.03.11 14:48:00 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.03.11 14:40:29 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.03.11 14:40:24 | 3219,791,872 | -HS- | M] () -- C:\hiberfil.sys
[2013.03.10 23:37:11 | 000,000,814 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.08 20:30:55 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.03.08 20:30:55 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.03.08 20:30:55 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.03.08 20:30:55 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.03.08 20:30:55 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.03.05 14:50:07 | 000,002,183 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2013.02.26 13:53:08 | 000,417,524 | ---- | M] () -- C:\Windows\SysNative\drivers\vsconfig.xml
[2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
 
========== Files Created - No Company Name ==========
 
[2013.03.11 18:14:23 | 000,000,000 | ---- | C] () -- C:\Users\xyz\defogger_reenable
[2013.03.11 18:13:07 | 000,050,477 | ---- | C] () -- C:\Users\xyz\Desktop\Defogger.exe
[2013.03.10 23:37:11 | 000,000,814 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.21 15:55:22 | 000,393,256 | ---- | C] () -- C:\Windows\SysWow64\CNQ4809N.DAT
[2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileOut.cns
[2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileIn.cns
[2012.01.21 13:30:50 | 000,000,403 | ---- | C] () -- C:\Windows\ODBC.INI
[2012.01.21 13:24:36 | 000,000,196 | ---- | C] () -- C:\Windows\ulead32.ini
[2012.01.21 13:02:13 | 000,000,000 | ---- | C] () -- C:\Windows\winfile.ini
[2012.01.21 13:00:12 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\pxhpinst.exe
[2012.01.21 13:00:10 | 000,000,155 | ---- | C] () -- C:\Windows\winamp.ini
[2012.01.21 12:17:35 | 000,175,616 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll
[2012.01.21 12:17:34 | 000,650,752 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2012.01.21 12:17:34 | 000,243,200 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2012.01.21 12:17:34 | 000,079,360 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll
[2012.01.21 10:50:30 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.01.21 10:41:45 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini
[2011.11.10 03:36:06 | 000,204,960 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat
[2011.11.10 03:36:06 | 000,157,152 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat
[2011.11.09 22:39:44 | 000,059,904 | ---- | C] () -- C:\Windows\SysWow64\OpenVideo.dll
[2011.11.09 22:39:32 | 000,054,784 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll
[2011.09.13 00:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2010.07.27 15:59:11 | 014,162,944 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2010.07.27 15:03:24 | 012,867,584 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2012.01.28 17:42:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Auslogics
[2012.01.21 13:51:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Blender Foundation
[2012.05.21 16:00:57 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Canon
[2012.09.05 18:32:13 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\CheckPoint
[2012.02.09 18:58:31 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Haufe Mediengruppe
[2012.01.30 17:39:53 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Leadertech
[2012.02.09 18:53:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Lexware
[2012.04.22 08:27:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\SharePod
 
========== Purity Check ==========
 
 

< End of report >
         
Und noch die Extras.txt:
Code:
ATTFilter
OTL logfile created on: 11.03.2013 18:19:17 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\xyz\Desktop
64bit- Enterprise Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 2,68 Gb Available Physical Memory | 66,96% Memory free
7,99 Gb Paging File | 5,90 Gb Available in Paging File | 73,79% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 127,99 Gb Total Space | 52,05 Gb Free Space | 40,67% Space Free | Partition Type: NTFS
Drive D: | 337,77 Gb Total Space | 126,27 Gb Free Space | 37,38% Space Free | Partition Type: NTFS
Drive E: | 201,63 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: MAGIRUS-DEUTZ | User Name: xyz | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe
PRC - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe
PRC - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.02.26 13:37:28 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe
PRC - [2013.01.02 13:38:50 | 000,073,984 | ---- | M] (Check Point Software Technologies LTD) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe
PRC - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2011.09.16 14:39:24 | 000,115,048 | ---- | M] (Renesas Electronics Corporation) -- C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
PRC - [2010.04.02 09:18:54 | 001,185,112 | ---- | M] (CANON INC.) -- C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2007.06.27 19:04:00 | 001,213,736 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
PRC - [2007.06.27 19:03:40 | 000,152,872 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe
MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2011.11.10 04:11:32 | 000,204,288 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2011.11.09 22:08:52 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service)
SRV:64bit: - [2009.07.14 02:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2013.02.26 13:38:04 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.02.26 13:37:29 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.01.02 14:10:28 | 002,448,032 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon)
SRV - [2012.12.18 20:08:28 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Tools\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.11.22 15:35:22 | 000,828,072 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc)
SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)
DRV:64bit: - [2012.12.13 11:49:42 | 000,450,136 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\vsdatant.sys -- (Vsdatant)
DRV:64bit: - [2012.02.15 10:01:50 | 000,052,736 | ---- | M] (Apple, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\usbaapl64.sys -- (USBAAPL64)
DRV:64bit: - [2011.11.10 04:45:30 | 010,567,680 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2011.11.10 03:12:44 | 000,325,632 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2011.10.25 09:57:38 | 000,213,504 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3xhc.sys -- (nusb3xhc)
DRV:64bit: - [2011.10.25 09:57:38 | 000,096,768 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3hub.sys -- (nusb3hub)
DRV:64bit: - [2011.10.24 17:39:54 | 000,066,328 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGSHidFilt.Sys -- (LGSHidFilt)
DRV:64bit: - [2011.10.17 18:40:50 | 000,093,712 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService)
DRV:64bit: - [2010.05.31 11:46:50 | 000,333,928 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2010.03.02 19:30:20 | 001,301,504 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV:64bit: - [2010.02.18 09:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\amdiox64.sys -- (amdiox64)
DRV:64bit: - [2009.12.22 02:26:36 | 000,038,456 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\usbfilter.sys -- (usbfilter)
DRV:64bit: - [2009.11.24 02:38:00 | 000,016,008 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGVirHid.sys -- (LGVirHid)
DRV:64bit: - [2009.11.24 02:37:50 | 000,022,408 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LGBusEnum.sys -- (LGBusEnum)
DRV:64bit: - [2009.07.14 02:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2009.07.14 02:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 02:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009.06.10 11:14:36 | 000,043,264 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiBus.sys -- (SaiNtBus)
DRV:64bit: - [2009.06.10 11:14:36 | 000,016,000 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiMini.sys -- (SaiMini)
DRV:64bit: - [2009.05.18 12:17:08 | 000,034,152 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV:64bit: - [2009.05.05 09:00:28 | 000,016,440 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\AtiPcie.sys -- (AtiPcie)
DRV:64bit: - [2007.05.01 16:10:50 | 000,171,144 | ---- | M] (Saitek) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\SaiH075C.sys -- (SaiH075C)
DRV - [2012.11.22 15:35:36 | 000,033,712 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - [2011.06.24 06:31:02 | 000,055,424 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.01)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 5C 5D EC 76 67 97 CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledAddons: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:2.0.3
FF - prefs.js..extensions.enabledAddons: {0b457cAA-602d-484a-8fe7-c1d894a011ba}:0.98.28
 
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Tools\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.15.2: C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.15.2: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\TRUSTCHECKER [2013.02.26 13:51:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker [2013.02.26 13:51:16 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.10.22 16:49:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins
 
[2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions
[2012.02.09 18:58:35 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Extensions\ideskbrowser@haufe.de
[2013.02.15 23:34:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions
[2013.02.15 23:34:29 | 000,000,000 | ---D | M] (FireShot) -- C:\Users\xyz\AppData\Roaming\mozilla\Firefox\Profiles\copq34t7.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}
[2012.01.21 14:13:43 | 000,634,964 | ---- | M] () (No name found) -- C:\Users\xyz\AppData\Roaming\mozilla\firefox\profiles\copq34t7.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012.09.04 18:11:59 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2011.12.21 08:42:29 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.12.21 06:08:50 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.12.21 06:02:40 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2011.12.21 06:08:50 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2011.12.21 06:08:50 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.12.21 06:08:50 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.12.21 06:08:50 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}sugkey={google:suggestAPIKeyParameter}
CHR - homepage: hxxp://www.google.com/
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.152\gcswf32.dll
CHR - plugin: Shockwave Flash (Disabled) = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\PepperFlash\11.2.31.144\pepflashplayer.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin2.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin3.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin4.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin5.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin6.dll
CHR - plugin: QuickTime Plug-in 7.7.1 (Enabled) = C:\Program Files (x86)\QuickTime\plugins\npqtplugin7.dll
CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll
CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: npFFApi (Enabled) = C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll
CHR - plugin: iTunes Application Detector (Enabled) = C:\Tools\iTunes\Mozilla Plugins\npitunes.dll
CHR - Extension: The Vampire Diaries 001 = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkkhfjdehckdomepilagalhldddpcakk\1_0\
CHR - Extension: YouTube = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: Google-Suche = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: Google Mail = C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2012.01.21 14:39:29 | 000,442,426 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.1001-search.info
O1 - Hosts: 127.0.0.1	1001-search.info
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.123topsearch.com
O1 - Hosts: 127.0.0.1	123topsearch.com
O1 - Hosts: 127.0.0.1	www.132.com
O1 - Hosts: 127.0.0.1	132.com
O1 - Hosts: 127.0.0.1	www.136136.net
O1 - Hosts: 127.0.0.1	136136.net
O1 - Hosts: 127.0.0.1	www.139mm.com
O1 - Hosts: 15215 more lines...
O2:64bit: - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3:64bit: - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O4:64bit: - HKLM..\Run: [Easy-PrintToolBox] C:\Program Files (x86)\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.)
O4:64bit: - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4:64bit: - HKLM..\Run: [Launch LCore] C:\Program Files\Logitech Gaming Software\LCore.exe (Logitech Inc.)
O4:64bit: - HKLM..\Run: [ProfilerU] C:\Programme\Saitek\SD6\Software\ProfilerU.exe (Saitek)
O4:64bit: - HKLM..\Run: [SaiMfd] C:\Programme\Saitek\SD6\Software\SaiMfd.exe (Saitek)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE (CANON INC.)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
O4 - HKLM..\Run: [LexwareInfoService] C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG)
O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [ZoneAlarm] C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [Ommogykey] C:\Users\xyz\AppData\Roaming\Qiemow\peoze.exe File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C9214DFD-7FC3-44F1-8CDF-D766F740A42E}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\haufereader - No CLSID value found
O18:64bit: - Protocol\Handler\ipp - No CLSID value found
O18:64bit: - Protocol\Handler\ipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\PROGRA~2\COMMON~1\System\OLEDB~1\MSDAIPP.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.11 18:14:59 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe
[2013.03.10 23:37:26 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Malwarebytes
[2013.03.10 23:37:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.03.10 23:37:10 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.03.10 23:37:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.03.10 23:36:44 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\Programs
[2013.03.03 19:46:04 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QuickSteuer 2012
[2013.02.28 13:01:15 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WBFSManager
[2013.02.28 13:00:03 | 000,000,000 | ---D | C] -- C:\Users\xyz\Documents\WBFS Manager Covers
[2013.02.26 13:50:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Check Point
[2013.02.26 13:48:22 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Roaming\Avira
[2013.02.26 13:43:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.02.26 13:42:51 | 000,129,216 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2013.02.26 13:42:51 | 000,099,912 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2013.02.26 13:42:51 | 000,027,800 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
[2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.02.26 13:42:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Avira
[2013.02.17 13:29:06 | 000,000,000 | ---D | C] -- C:\Users\xyz\AppData\Local\WinZip
[2013.02.17 13:28:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
[2013.02.17 13:28:36 | 000,000,000 | ---D | C] -- C:\ProgramData\WinZip
[2013.02.15 23:40:10 | 000,000,000 | -HSD | C] -- C:\ProgramData\System Restore
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.11 18:15:01 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xyz\Desktop\OTL.exe
[2013.03.11 18:14:23 | 000,000,000 | ---- | M] () -- C:\Users\xyz\defogger_reenable
[2013.03.11 18:13:09 | 000,050,477 | ---- | M] () -- C:\Users\xyz\Desktop\Defogger.exe
[2013.03.11 17:48:00 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.03.11 14:48:05 | 000,012,064 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.03.11 14:48:00 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.03.11 14:40:29 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.03.11 14:40:24 | 3219,791,872 | -HS- | M] () -- C:\hiberfil.sys
[2013.03.10 23:37:11 | 000,000,814 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.08 20:30:55 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.03.08 20:30:55 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.03.08 20:30:55 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.03.08 20:30:55 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.03.08 20:30:55 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.03.05 14:50:07 | 000,002,183 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2013.02.26 13:53:08 | 000,417,524 | ---- | M] () -- C:\Windows\SysNative\drivers\vsconfig.xml
[2013.02.26 13:38:27 | 000,129,216 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2013.02.26 13:38:27 | 000,099,912 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2013.02.26 13:38:27 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
 
========== Files Created - No Company Name ==========
 
[2013.03.11 18:14:23 | 000,000,000 | ---- | C] () -- C:\Users\xyz\defogger_reenable
[2013.03.11 18:13:07 | 000,050,477 | ---- | C] () -- C:\Users\xyz\Desktop\Defogger.exe
[2013.03.10 23:37:11 | 000,000,814 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.21 15:55:22 | 000,393,256 | ---- | C] () -- C:\Windows\SysWow64\CNQ4809N.DAT
[2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileOut.cns
[2012.05.01 10:09:19 | 000,000,000 | ---- | C] () -- C:\Users\xyz\AppData\Roaming\FileIn.cns
[2012.01.21 13:30:50 | 000,000,403 | ---- | C] () -- C:\Windows\ODBC.INI
[2012.01.21 13:24:36 | 000,000,196 | ---- | C] () -- C:\Windows\ulead32.ini
[2012.01.21 13:02:13 | 000,000,000 | ---- | C] () -- C:\Windows\winfile.ini
[2012.01.21 13:00:12 | 000,053,248 | ---- | C] () -- C:\Windows\SysWow64\pxhpinst.exe
[2012.01.21 13:00:10 | 000,000,155 | ---- | C] () -- C:\Windows\winamp.ini
[2012.01.21 12:17:35 | 000,175,616 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll
[2012.01.21 12:17:34 | 000,650,752 | ---- | C] () -- C:\Windows\SysWow64\xvidcore.dll
[2012.01.21 12:17:34 | 000,243,200 | ---- | C] () -- C:\Windows\SysWow64\xvidvfw.dll
[2012.01.21 12:17:34 | 000,079,360 | ---- | C] () -- C:\Windows\SysWow64\ff_vfw.dll
[2012.01.21 10:50:30 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.01.21 10:41:45 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini
[2011.11.10 03:36:06 | 000,204,960 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat
[2011.11.10 03:36:06 | 000,157,152 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat
[2011.11.09 22:39:44 | 000,059,904 | ---- | C] () -- C:\Windows\SysWow64\OpenVideo.dll
[2011.11.09 22:39:32 | 000,054,784 | ---- | C] () -- C:\Windows\SysWow64\OVDecode.dll
[2011.09.13 00:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2010.07.27 15:59:11 | 014,162,944 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2010.07.27 15:03:24 | 012,867,584 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
[2012.01.28 17:42:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Auslogics
[2012.01.21 13:51:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Blender Foundation
[2012.05.21 16:00:57 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Canon
[2012.09.05 18:32:13 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\CheckPoint
[2012.02.09 18:58:31 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Haufe Mediengruppe
[2012.01.30 17:39:53 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Leadertech
[2012.02.09 18:53:30 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\Lexware
[2012.04.22 08:27:06 | 000,000,000 | ---D | M] -- C:\Users\xyz\AppData\Roaming\SharePod
 
========== Purity Check ==========
 
 

< End of report >
         

Bei gmer.exe bin ich gescheitert: Das Kästchen "Alle Festplatten ausser System..." gibt es nicht. Ich habe stattdessen alle Festplatten angehakt und einen Komplettscan gemacht. Bei Druck auf den Butten Save passiert allerdings nichts. Daher auch keine Log-Datei vorhanden.


So das war es aber jetzt. Jede Menge Lesestoff. Ich hoffe, es ist keiner böse, daß ich so einen langen Beitrag starte, aber es werden ja so viele Daten wie möglich benötigt, um das Problem einzugrenzen.
Danke nochmals.
Gruß
tommes77
__________________


Alt 12.03.2013, 12:10   #3
t'john
/// Helfer-Team
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?





Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast!
(Reiter Logdateien)

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Ersetze die Platzhalter wieder in den Benutzernamen zurück!
Code:
ATTFilter
:OTL

O4 - HKCU..\Run: [Ommogykey] C:\Users\xyz\AppData\Roaming\Qiemow\peoze.exe File not found 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\xyz\*.tmp
C:\Users\xyz\AppData\*.dll
C:\Users\xyz\AppData\*.exe
C:\Users\xyz\AppData\Local\Temp\*.exe
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
__________________

Alt 12.03.2013, 18:29   #4
tommes77
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Hallo t'John,

vielen Dank für die schnelle Antwort. Ich habe alles durchgeführt. Hier die gewünschten Logs:


Malwarebytes
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.10.07

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
xyz :: MAGIRUS-DEUTZ [Administrator]

Schutz: Aktiviert

10.03.2013 23:38:28
mbam-log-2013-03-10 (23-38-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 210492
Laufzeit: 2 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

OTL
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Ommogykey deleted successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\xyz\*.tmp not found.
File\Folder C:\Users\xyz\AppData\*.dll not found.
File\Folder C:\Users\xyz\AppData\*.exe not found.
File\Folder C:\Users\xyz\AppData\Local\Temp\*.exe not found.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\xyz\Desktop\cmd.bat deleted successfully.
C:\Users\xyz\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: xyz
->Temp folder emptied: 346327 bytes
->Temporary Internet Files folder emptied: 617152 bytes
->FireFox cache emptied: 112545407 bytes
->Google Chrome cache emptied: 211681750 bytes
->Flash cache emptied: 2497 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 174530 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67899 bytes
RecycleBin emptied: 157217 bytes
 
Total Files Cleaned = 311,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 03122013_175646

Files\Folders moved on Reboot...
C:\Users\xyz\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

MBAR
Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.12.07

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
xyz :: MAGIRUS-DEUTZ [administrator]

12.03.2013 18:11:56
mbar-log-2013-03-12 (18-11-56).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 27142
Time elapsed: 3 minute(s), 59 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

AdwCleaner

Code:
ATTFilter
# AdwCleaner v2.114 - Datei am 12/03/2013 um 18:15:57 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Windows 7 Enterprise  (64 bits)
# Benutzer : xyz - MAGIRUS-DEUTZ
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\xyz\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Gelöscht mit Neustart : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeRIP

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v9.0.1 (de)

Datei : C:\Users\xyz\AppData\Roaming\Mozilla\Firefox\Profiles\copq34t7.default\prefs.js

C:\Users\xyz\AppData\Roaming\Mozilla\Firefox\Profiles\copq34t7.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

-\\ Google Chrome v25.0.1364.152

Datei : C:\Users\xyz\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1358 octets] - [12/03/2013 18:15:57]

########## EOF - C:\AdwCleaner[S1].txt - [1418 octets] ##########
         

Ich warte dann mal gespannt auf Deine Analyse und ggf. die nächsten Anweisungen. Vielen Dank für Eure tolle Hilfe !!

Gruß
tommes77

Alt 12.03.2013, 21:00   #5
t'john
/// Helfer-Team
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

__________________
Mfg, t'john
Das TB unterstützen

Alt 14.03.2013, 08:22   #6
tommes77
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Hallo t'John,

hat alles geklappt. Folgendes kam dabei heraus:

aswMBR
Code:
ATTFilter
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-03-13 18:34:16
-----------------------------
18:34:16.896    OS Version: Windows x64 6.1.7600 
18:34:16.896    Number of processors: 4 586 0x403
18:34:16.897    ComputerName: MAGIRUS-DEUTZ  UserName: Henkel
18:34:19.490    Initialize success
18:40:39.177    AVAST engine defs: 13031300
18:42:20.006    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
18:42:20.007    Disk 0 Vendor: WDC_WD5000AAKS-65YGA0 12.01C02 Size: 476940MB BusType: 3
18:42:20.020    Disk 0 MBR read successfully
18:42:20.022    Disk 0 MBR scan
18:42:20.024    Disk 0 Windows 7 default MBR code
18:42:20.026    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       131061 MB offset 63
18:42:20.029    Disk 0 Partition - 00     0F Extended LBA            345875 MB offset 268414020
18:42:20.046    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       345875 MB offset 268414083
18:42:20.074    Disk 0 scanning C:\Windows\system32\drivers
18:42:24.908    Service scanning
18:42:37.370    Modules scanning
18:42:37.374    Disk 0 trace - called modules:
18:42:37.388    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 
18:42:37.392    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004b22060]
18:42:37.395    3 CLASSPNP.SYS[fffff8800184243f] -> nt!IofCallDriver -> [0xfffffa8004a609b0]
18:42:37.398    5 ACPI.sys[fffff88000e84781] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8004b0b060]
18:42:38.260    AVAST engine scan C:\Windows
18:42:39.583    AVAST engine scan C:\Windows\system32
18:44:23.974    AVAST engine scan C:\Windows\system32\drivers
18:44:29.620    AVAST engine scan C:\Users\Henkel
18:45:43.460    AVAST engine scan C:\ProgramData
18:47:04.275    Scan finished successfully
18:47:11.839    Disk 0 MBR has been saved successfully to "C:\Users\Henkel\Desktop\MBR.dat"
18:47:11.842    The log file has been saved successfully to "C:\Users\Henkel\Desktop\aswMBR.txt"
         

ESET
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=0
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=03a4501f617a6a48ac0422e54dc9cf85
# engine=0
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-13 05:53:22
# local_time=2013-03-13 06:53:22 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1799 16775165 100 96 17456 133868507 10241 0
# compatibility_mode=5893 16776573 100 94 81727372 115628653 0 0
# compatibility_mode=9217 16777214 75 4 1317753 1317753 0 0
# scanned=0
# found=0
# cleaned=0
# scan_time=8
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=03a4501f617a6a48ac0422e54dc9cf85
# engine=13375
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-13 07:31:41
# local_time=2013-03-13 08:31:41 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1799 16775165 100 96 23355 133874406 16140 0
# compatibility_mode=5893 16776573 100 94 81733271 115634552 0 0
# compatibility_mode=9217 16777214 75 4 1320052 1320052 0 0
# scanned=442688
# found=0
# cleaned=0
# scan_time=5682
         

SecurityCheck
Code:
ATTFilter
 Results of screen317's Security Check version 0.99.59  
 Windows 7  x64 (UAC is enabled)  
 Out of date service pack!! 
 Internet Explorer 8 Out of date! 
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 MVPS Hosts File  
 xp-AntiSpy 3.98-1    
 Spybot - Search & Destroy 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 CCleaner (remove only)   
 Java 7 Update 15  
 Java version out of Date! 
 Adobe Flash Player 10 Flash Player out of Date! 
  Adobe Flash Player 11.4.402.287 Flash Player out of Date!  
 Adobe Reader XI  
 Mozilla Firefox (9.0.1) 
 Google Chrome 25.0.1364.152  
 Google Chrome 25.0.1364.172  
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Malwarebytes' Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         
Was sagt der Fachmann?

Gruß
tommes77

Alt 14.03.2013, 10:22   #7
t'john
/// Helfer-Team
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Alles Windows Updates einspielen, inkl. Service Pack & Internet Explorer!
http://windowsupdate.microsoft.com


Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)
Firefox: Firefox - Download - Filepony


Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die .exe-Datei
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 17 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 14.03.2013, 21:56   #8
tommes77
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



N´Abend t'John,

war ganz schön langwierig, aber ich hab alles geschafft.
Hier die beiden PluginChecks:

PluginCheck
Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.
· Firefox 19.0 ist aktuell
· Flash (11,6,602,180) ist aktuell.
· Java (1,7,0,17) ist aktuell.
· Adobe Reader 11,0,2,0 ist aktuell.


PluginCheck
Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.
· Firefox 19.0 ist aktuell
· Flash (11,6,602,180) ist aktuell.
· Java ist Installiert aber nicht aktiviert.
· Adobe Reader 11,0,2,0 ist aktuell.

So, bin gespannt auf Deine nächsten Anweisungen.
Und ich gelobe auch Besserung in Bezug auf zukünftige Updates :-)

Gruß
tommes77

Alt 15.03.2013, 11:17   #9
t'john
/// Helfer-Team
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.03.2013, 23:59   #10
tommes77
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?



Hi t'John,

1000 Dank nochmal für die große und tolle Hilfe!!!
Habe mir die ganzen Infos intensiv angesehen und viel dabei gelernt.
Ich werde versuchen, alles nach und nach abzuarbeiten.

Schönes Wochenende.
Gruß
tommes777

Alt 17.03.2013, 10:28   #11
t'john
/// Helfer-Team
 
Groupon Trojaner - wie prüfe ich das System richtig? - Standard

Groupon Trojaner - wie prüfe ich das System richtig?





wuensche eine virenfreie Zeit
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu Groupon Trojaner - wie prüfe ich das System richtig?
adspy/excite.a.3, adspy/mysearch.j, adspy/toolbar.myway.f.2, ccc.exe, dateianhang, dllhost.exe, fehler, groupon, iexplore.exe, infizierte, prozesse, recycle.bin, schutz, services.exe, software, spyware, svchost.exe, taskhost.exe, tr/agent.94208.66, tr/bublik.b.16, tr/inject.fz, tr/jorik.bublik.ca, tr/win9x.flashkiller.g, tr/yakes.cnnh, trojaner, vdeck.exe, windows, winlogon.exe




Ähnliche Themen: Groupon Trojaner - wie prüfe ich das System richtig?


  1. Groupon Trojaner
    Log-Analyse und Auswertung - 30.03.2013 (28)
  2. Groupon Trojaner
    Log-Analyse und Auswertung - 26.03.2013 (9)
  3. Groupon Trojaner.
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (29)
  4. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (11)
  5. Groupon Trojaner, die Hundertste...
    Plagegeister aller Art und deren Bekämpfung - 24.03.2013 (23)
  6. Groupon-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.03.2013 (10)
  7. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.03.2013 (16)
  8. Groupon Trojaner-Bereinigung
    Log-Analyse und Auswertung - 14.03.2013 (72)
  9. Nochmal Groupon-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (1)
  10. 2x | Groupon Trojaner
    Mülltonne - 13.03.2013 (5)
  11. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (24)
  12. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.03.2013 (13)
  13. Groupon Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.03.2013 (5)
  14. stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system?
    Plagegeister aller Art und deren Bekämpfung - 07.08.2011 (23)
  15. System neu aufsetzen, aber wie richtig?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2009 (4)
  16. System richtig einrichten
    Alles rund um Windows - 25.10.2007 (9)
  17. bitte log file prüfe - Prozess nxoa.exe????
    Log-Analyse und Auswertung - 23.11.2004 (5)

Zum Thema Groupon Trojaner - wie prüfe ich das System richtig? - Hallo zusammen, am 07.03. habe ich leider die gefälscht Groupon-E-Mail geöffnet und den Dateianhang ebenfalls. Der Trojaner hat sich auch schnell bemerkbar gemacht, weil Avira mehrfach Alarm geschlagen und einige - Groupon Trojaner - wie prüfe ich das System richtig?...
Archiv
Du betrachtest: Groupon Trojaner - wie prüfe ich das System richtig? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.