Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mehrere Troj-Funde in Recycle.Bin

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.06.2013, 12:51   #1
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Ausrufezeichen

Mehrere Troj-Funde in Recycle.Bin



Hallo zusammmen!
Ich bin über verschiedene Suchen im Internet auf diese Seite gestoßen und hoffe ihr könnt mir helfen.
Bei dem Laptop meiner Eltern tauchen seit einigen Tagen oder Wochen wohl immer wieder Virusmeldungen auf. Diese Verweisen auf den Ordner C:\Recycle.Bin\...
Beim Versuch diese Daten manuell zu löschen habe ich keinen Zugriff auf die Dateien und Ordner. Auch beim Versuch über die cmd (als admin) über "rd /s /q Pfad" keine Chance.

Es war wohl vor ca 2 Monaten ein Virus/Troj auf dem Gerät welchen mein Vater versucht hat Spybot zu löschen. Anscheinend war dies nicht wirklich von erfolg gekrönt. (falls ich noch logs finden sollte kommen die logischerweise dazu!)

Die Logs von Avira, OTL, defogger (kam keine Fehlermeldung, aber sicher ist sicher) und GMER habe ich angehängt.

Danke schonmal für eure Hilfe, die Daten kommen sofort hinterher!

Alt 11.06.2013, 12:53   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Hi,

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
__________________

__________________

Alt 11.06.2013, 18:48   #3
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Hallo Schrauber,
danke für deine schnelle Antwort. Leider hatte ich grade GMER gestartet was doch eine weile gedauert hat.
Ich habe dir nochmal die GMER log sowie die logs von adwcleaner (lief heute morgen einmal) und sbybot mit angehängt falls es noch interessant sein sollte.

Jetzt die FRST logs!

FRST.txt

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 11-06-2013 03
Ran by Helmaduo (administrator) on 11-06-2013 18:39:08
Running from C:\Users\Helmaduo\Desktop
Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Apple Computer, Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\Windows\system32\ChgService.exe
(Logitech Inc.) C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
(Nero AG) C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
(TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(MAGIX AG) C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
(TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(Conexant Systems, Inc.) C:\Program Files\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Microsoft Corporation) C:\Windows\WindowsMobile\wmdSync.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-02-11] (Intel Corporation)
HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe [474168 2009-04-02] (Conexant Systems, Inc.)
HKLM\...\Run: []  [x]
HKLM\...\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe [215552 2008-01-21] (Microsoft Corporation)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345312 2013-05-09] (Avira Operations GmbH & Co. KG)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess
MountPoints2: E - E:\.\ShowModem.exe
MountPoints2: {33722997-9348-11df-9a24-00269ee30edf} - E:\AutoRun.exe
MountPoints2: {337229ab-9348-11df-9a24-00269ee30edf} - E:\AutoRun.exe
MountPoints2: {337229b7-9348-11df-9a24-00269ee30edf} - E:\AutoRun.exe
MountPoints2: {8b56a58f-3527-11df-bfda-d0b555597103} - E:\.\ShowModem.exe
HKU\Admin\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized [ 2010-05-13] (Skype Technologies S.A.)
HKU\Gast\...\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode [ 2009-04-30] (Logitech Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL (Microsoft Corporation)
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2210608 2006-10-27] (Microsoft Corporation)
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

FireFox:
========
FF ProfilePath: C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default
FF Homepage: hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=1.0.5 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi
FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86752 2013-04-16] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816 2013-04-16] (Avira Operations GmbH & Co. KG)
R2 Change Modem Device Service; C:\Windows\system32\ChgService.exe [135168 2009-03-12] ()
R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128 2011-05-24] (MAGIX AG)
S3 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®)
S3 TuneUp.Defrag; C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [435016 2010-03-18] (TuneUp Software)
R2 TuneUp.UtilitiesSvc; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [1047880 2010-02-25] (TuneUp Software)
S3 msiserver; %systemroot%\system32\msiexec /V [x]

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-16] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-16] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-16] (Avira Operations GmbH & Co. KG)
S3 cmnsusbser; C:\Windows\System32\DRIVERS\cmnsusbser.sys [103424 2008-10-31] (Mobile Connector)
R3 L1C; C:\Windows\System32\DRIVERS\L1C60x86.sys [50176 2009-04-08] (Atheros Communications, Inc.)
R3 LVPr2Mon; C:\Windows\System32\DRIVERS\LVPr2Mon.sys [25624 2009-04-30] ()
S4 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-03-18] (Duplex Secure Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-04-16] (Avira GmbH)
R3 TuneUpUtilitiesDrv; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [10064 2010-02-25] (TuneUp Software)
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
U3 uglyipog; \??\C:\Users\Helmaduo\AppData\Local\Temp\uglyipog.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-11 18:39 - 2013-06-11 18:39 - 00000000 ____D C:\FRST
2013-06-11 18:37 - 2013-06-11 18:37 - 01359011 ____A (Farbar) C:\Users\Helmaduo\Desktop\FRST.exe
2013-06-11 18:35 - 2013-06-11 18:35 - 00007518 ____A C:\Users\Helmaduo\Desktop\gmer.log
2013-06-11 14:08 - 2013-06-11 11:52 - 00047649 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[R1].txt
2013-06-11 14:08 - 2013-06-11 11:52 - 00047069 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[S1].txt
2013-06-11 13:25 - 2013-06-11 11:37 - 00002905 ____A C:\Users\Helmaduo\Desktop\Spybot.Fixes.130611-1137.txt
2013-06-11 13:25 - 2012-09-09 16:10 - 00002149 ____A C:\Users\Helmaduo\Desktop\Spybot.Fixes.120909-1610.txt
2013-06-11 12:48 - 2013-06-11 12:49 - 00025180 ____A C:\Users\Helmaduo\Desktop\Avira.txt
2013-06-11 12:42 - 2013-06-11 12:42 - 00033892 ____A C:\Users\Helmaduo\Desktop\Extras.Txt
2013-06-11 12:40 - 2013-06-11 12:40 - 00045986 ____A C:\Users\Helmaduo\Desktop\OTL.Txt
2013-06-11 12:18 - 2013-06-11 12:18 - 00000638 ____A C:\Users\Helmaduo\Desktop\defogger_disable.log
2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable
2013-06-11 12:16 - 2013-06-11 12:17 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe
2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe
2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe
2013-06-11 11:52 - 2013-06-11 11:52 - 00047649 ____A C:\AdwCleaner[R1].txt
2013-06-11 11:52 - 2013-06-11 11:52 - 00047069 ____A C:\AdwCleaner[S1].txt
2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe
2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini
2013-06-11 11:02 - 2006-09-18 23:41 - 00000761 ____A C:\Windows\System32\Drivers\etc\hosts.20130611-110231.backup
2013-05-21 00:06 - 2013-05-21 00:07 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss
2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero

==================== One Month Modified Files and Folders ========

2013-06-11 18:39 - 2013-06-11 18:39 - 00000000 ____D C:\FRST
2013-06-11 18:37 - 2013-06-11 18:37 - 01359011 ____A (Farbar) C:\Users\Helmaduo\Desktop\FRST.exe
2013-06-11 18:35 - 2013-06-11 18:35 - 00007518 ____A C:\Users\Helmaduo\Desktop\gmer.log
2013-06-11 18:20 - 2010-03-18 17:39 - 00001096 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-06-11 18:19 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-11 18:19 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-11 13:32 - 2008-01-21 09:16 - 01445136 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-11 12:49 - 2013-06-11 12:48 - 00025180 ____A C:\Users\Helmaduo\Desktop\Avira.txt
2013-06-11 12:42 - 2013-06-11 12:42 - 00033892 ____A C:\Users\Helmaduo\Desktop\Extras.Txt
2013-06-11 12:40 - 2013-06-11 12:40 - 00045986 ____A C:\Users\Helmaduo\Desktop\OTL.Txt
2013-06-11 12:27 - 2010-03-18 17:39 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-06-11 12:19 - 2010-07-20 15:03 - 00000000 ____A C:\Windows\System32\Drivers\lvuvc.hs
2013-06-11 12:19 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-11 12:18 - 2013-06-11 12:18 - 00000638 ____A C:\Users\Helmaduo\Desktop\defogger_disable.log
2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable
2013-06-11 12:18 - 2010-03-21 22:23 - 00000000 ____D C:\users\Helmaduo
2013-06-11 12:18 - 2006-11-02 15:01 - 00032628 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-11 12:17 - 2013-06-11 12:16 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe
2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe
2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe
2013-06-11 11:56 - 2010-03-18 17:41 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Skype
2013-06-11 11:54 - 2012-09-24 09:53 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-06-11 11:54 - 2008-01-21 04:47 - 00081916 ____A C:\Windows\PFRO.log
2013-06-11 11:52 - 2013-06-11 14:08 - 00047649 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[R1].txt
2013-06-11 11:52 - 2013-06-11 14:08 - 00047069 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[S1].txt
2013-06-11 11:52 - 2013-06-11 11:52 - 00047649 ____A C:\AdwCleaner[R1].txt
2013-06-11 11:52 - 2013-06-11 11:52 - 00047069 ____A C:\AdwCleaner[S1].txt
2013-06-11 11:52 - 2010-07-31 10:37 - 00000000 ____D C:\Program Files\Common Files\DVDVideoSoft
2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe
2013-06-11 11:37 - 2013-06-11 13:25 - 00002905 ____A C:\Users\Helmaduo\Desktop\Spybot.Fixes.130611-1137.txt
2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini
2013-06-11 10:59 - 2010-03-18 17:19 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-11 10:54 - 2012-09-09 15:28 - 00000000 ____D C:\Program Files\Spybot - Search & Destroy
2013-06-11 09:55 - 2010-03-26 23:51 - 00000424 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{F322D62A-BB68-4FF1-AC26-2D9649AF848B}.job
2013-06-07 11:35 - 2013-04-25 11:56 - 00000000 ____D C:\Users\Helmaduo\Desktop\Pool
2013-06-07 11:34 - 2012-09-26 20:01 - 00000000 ____D C:\Users\Helmaduo\Desktop\Neuer Ordner
2013-05-22 15:44 - 2010-03-22 10:01 - 00000000 ____D C:\Users\Gast\AppData\Roaming\vlc
2013-05-22 15:44 - 2006-11-02 14:52 - 00096680 ____A C:\Windows\setupact.log
2013-05-21 00:07 - 2013-05-21 00:06 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss
2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero
2013-05-21 00:05 - 2011-07-02 21:51 - 00000000 ____D C:\Users\Gast\AppData\Roaming\Nero

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\00000001.@
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\80000000.@
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\800000cb.@

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-11 12:32

==================== End Of Log ============================
         
--- --- ---



und hier die Addition.txt

Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 11-06-2013 03
Ran by Helmaduo at 2013-06-11 18:39:49 Run:
Running from C:\Users\Helmaduo\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

"Nero SoundTrax Help (Version: 4.4.32.0)
Adobe Anchor Service CS3 (Version: 1.0)
Adobe Asset Services CS3 (Version: 3)
Adobe Bridge CS3 (Version: 2)
Adobe Bridge Start Meeting (Version: 1.0)
Adobe Camera Raw 4.0 (Version: 4.0)
Adobe CMaps (Version: 1.0)
Adobe Color - Photoshop Specific (Version: 1.0)
Adobe Color Common Settings (Version: 1.0)
Adobe Color EU Extra Settings (Version: 1.0)
Adobe Color JA Extra Settings (Version: 1.0)
Adobe Color NA Recommended Settings (Version: 1.0)
Adobe Default Language CS3 (Version: 1.0)
Adobe Device Central CS3 (Version: 1.0)
Adobe ExtendScript Toolkit 2 (Version: 2.0)
Adobe Flash Player 10 Plugin (Version: 10.3.183.7)
Adobe Fonts All (Version: 1.0)
Adobe Help Viewer CS3 (Version: 1)
Adobe Linguistics CS3 (Version: 3.0.0)
Adobe PDF Library Files (Version: 8.0)
Adobe Photoshop CS3 (Version: 10)
Adobe Photoshop CS3 (Version: 10.0)
Adobe Photoshop Elements (Version: 1.0)
Adobe Reader 9.3 - Deutsch (Version: 9.3.0)
Adobe Setup (Version: 1.0)
Adobe Stock Photos CS3 (Version: 1.5)
Adobe SVG Viewer (Version: 1.0)
Adobe Type Support (Version: 1.0)
Adobe Update Manager CS3 (Version: 5.1.0)
Adobe Version Cue CS3 Client (Version: 3)
Adobe WinSoft Linguistics Plugin (Version: 1.0)
Adobe XMP Panels CS3 (Version: 1.0)
Advertising Center (Version: 0.0.0.2)
ArcSoft PhotoStudio 5.5
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver (Version: 1.0.0.18)
Avira Free Antivirus (Version: 13.0.0.3640)
Canon MP Navigator EX 2.0
Canon Utilities Solution Menu
CanoScan LiDE 100 Scanner Driver
Conexant HD Audio (Version: 4.91.7.51)
DolbyFiles (Version: 2.0)
Driver Whiz (Version: 8.0.1)
Firebird SQL Server - MAGIX Edition (Version: 2.1.31.0)
Free YouTube Download 2.8
GoldWave v5.22
Google Earth (Version: 7.0.3.8542)
Google Update Helper (Version: 1.3.21.145)
HSPA USB Modem version 4.974
ICQ7 (Version: 7.0)
ImagXpress (Version: 7.0.74.0)
Intel(R) Graphics Media Accelerator Driver
Intel(R) TV Wizard
Intel® Matrix Storage Manager
LG United Mobile Driver (Version: 3.6.0.0)
Logitech Vid (Version: 1.00.1062)
Logitech Webcam Software (Version: 12.00.1280)
Logitech Webcam Software-Treiberpaket (Version: 12.0.1278)
MAGIX Fotos auf DVD MX Deluxe Sonderedition (Version: 11.0.4.86)
MAGIX Screenshare (Version: 4.3.6.1987)
MAGIX Speed burnR (MSI) (Version: 7.0.2.6)
Menu Templates - Starter Kit (Version: 9.4.6.0)
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Office Access MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014)
Microsoft Office Excel MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Groove MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office InfoPath MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office OneNote MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proof (English) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proof (French) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proof (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proof (Italian) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Shared MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Word MUI (German) 2007 (Version: 12.0.4518.1014)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Movie Templates - Starter Kit (Version: 9.4.6.0)
Mozilla Firefox 20.0.1 (x86 de) (Version: 20.0.1)
Mozilla Maintenance Service (Version: 20.0.1)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
MSXML 4.0 SP3 Parser (Version: 4.30.2100.0)
Nero 9
Nero Burning ROM Help (Version: 9.4.17.100)
Nero BurnRights (Version: 3.4.11.100)
Nero BurnRights Help (Version: 3.4.4.100)
Nero ControlCenter (Version: 9.0.0.1)
Nero CoverDesigner (Version: 4.4.9.100)
Nero CoverDesigner Help (Version: 4.4.9.100)
Nero DiscSpeed (Version: 5.4.12.100)
Nero DiscSpeed Help (Version: 5.4.4.100)
Nero DriveSpeed (Version: 4.4.11.100)
Nero DriveSpeed Help (Version: 4.4.4.100)
Nero Express Help (Version: 9.4.17.100)
Nero InfoTool (Version: 6.4.11.100)
Nero InfoTool Help (Version: 6.4.4.100)
Nero Installer (Version: 4.4.9.0)
Nero Live (Version: 1.4.48.0)
Nero Live Help (Version: 1.4.48.0)
Nero PhotoSnap (Version: 1.53.2.0)
Nero PhotoSnap Help (Version: 1.53.2.0)
Nero Recode (Version: 4.4.31.0)
Nero Recode Help (Version: 4.4.31.0)
Nero Rescue Agent (Version: 2.4.12.100)
Nero RescueAgent Help (Version: 2.4.4.100)
Nero ShowTime (Version: 5.4.0.100)
Nero ShowTime (Version: 5.4.14.100)
Nero StartSmart (Version: 9.4.12.100)
Nero StartSmart Help (Version: 9.4.12.100)
Nero Vision (Version: 6.4.10.205)
Nero Vision Help (Version: 6.4.8.100)
Nero WaveEditor (Version: 5.4.32.0)
NeroBurningROM (Version: 9.4.17.100)
NeroExpress (Version: 9.4.17.100)
neroxml (Version: 1.0.0)
OEM Logo and Information
PDF Generator 1.48
PDF Settings (Version: 1.0)
Realtek USB 2.0 Card Reader (Version: 6.0.6000.20121)
Skype Toolbars (Version: 1.0.4051)
Skype™ 4.2 (Version: 4.2.169)
SoundTrax (Version: 4.4.32.0)
Spybot - Search & Destroy (Version: 1.6.2)
TeamViewer 5 (Version: 5.0.8081 )
TuneUp Utilities (Version: 9.0.4030.5)
TuneUp Utilities Language Pack (de-DE) (Version: 9.0.4030.5)
Uninstall 1.0.0.1
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
VLC media player 1.0.5 (Version: 1.0.5)
WinRAR

==================== Restore Points  =========================

20-10-2012 08:28:00 Geplanter Prüfpunkt
12-11-2012 17:51:04 Geplanter Prüfpunkt
06-02-2013 09:55:35 Geplanter Prüfpunkt
16-04-2013 08:50:32 Geplanter Prüfpunkt
25-04-2013 11:17:33 Geplanter Prüfpunkt
08-06-2013 10:53:08 Geplanter Prüfpunkt
11-06-2013 15:27:14 Geplanter Prüfpunkt

==================== Faulty Device Manager Devices =============

Name: 6TO4 Adapter
Description: Microsoft-6zu4-Adapter
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: tunnel
Problem: : This device is not working properly because Windows cannot load the drivers required for this device. (Code 31)
Resolution: Update the driver

Name: SM-Bus-Controller
Description: SM-Bus-Controller
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (06/11/2013 01:01:41 PM) (Source: Perflib) (User: )
Description: EmdCacheC:\Windows\system32\emdmgmt.dll4

Error: (06/11/2013 00:42:24 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0xc0000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (06/11/2013 00:42:24 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (06/11/2013 00:42:24 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0xc0000000,0x00000003,...)". hr = 0x80070005.

Error: (06/11/2013 00:42:04 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0xc0000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (06/11/2013 00:42:04 PM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (06/11/2013 00:21:17 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (06/11/2013 11:56:04 AM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (06/11/2013 11:41:12 AM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy20,0xc0000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (06/11/2013 11:41:12 AM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy20,0x80000000,0x00000003,...)". hr = 0x80070005.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider


System errors:
=============
Error: (06/11/2013 00:21:40 PM) (Source: Print) (User: NT-AUTORITÄT)
Description: Das Dokument (GC459BM) Vistas de La Seu by paradoxs konnte nicht gedruckt werden und wurde aufgrund einer Beschädigung an der gespoolten Datei gelöscht. Der zugewiesene Treiber ist "Lexmark E323 (MS)". Versuchen Sie erneut, das Dokument zu drucken.

Error: (06/11/2013 00:21:18 PM) (Source: Service Control Manager) (User: )
Description: IPsec-Richtlinien-AgentBFE

Error: (06/11/2013 00:21:18 PM) (Source: Service Control Manager) (User: )
Description: IKE- und AuthIP IPsec-SchlüsselerstellungsmoduleBFE

Error: (06/11/2013 00:21:18 PM) (Source: Service Control Manager) (User: )
Description: Computerbrowser%%1060

Error: (06/11/2013 00:19:38 PM) (Source: HTTP) (User: )
Description: \Device\Http\ReqQueueKerberos

Error: (06/11/2013 11:56:05 AM) (Source: Service Control Manager) (User: )
Description: IPsec-Richtlinien-AgentBFE

Error: (06/11/2013 11:56:05 AM) (Source: Service Control Manager) (User: )
Description: IKE- und AuthIP IPsec-SchlüsselerstellungsmoduleBFE

Error: (06/11/2013 11:56:05 AM) (Source: Service Control Manager) (User: )
Description: Computerbrowser%%1060

Error: (06/11/2013 11:54:33 AM) (Source: HTTP) (User: )
Description: \Device\Http\ReqQueueKerberos

Error: (06/11/2013 11:36:05 AM) (Source: Print) (User: Malle-Laptop)
Description: Das Dokument (GC459BM) Vistas de La Seu by paradoxs im Besitz von Helmaduo konnte nicht auf dem Drucker Lexmark E323 (MS) gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken, oder starten Sie den Druckspooler erneut. 
Datentyp: NT EMF 1.008. Größe der Spooldatei in Bytes: 167528. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 3. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\MALLE-LAPTOP. Vom Druckprozessor zurückgegebener Win32-Fehlercode: (GC459BM) Vistas de La Seu by paradoxs0. (GC459BM) Vistas de La Seu by paradoxs1


Microsoft Office Sessions:
=========================

CodeIntegrity Errors:
===================================
  Date: 2013-06-11 18:39:25.015
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 18:39:24.874
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 18:39:24.749
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 18:39:24.609
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 18:39:24.469
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 18:39:24.313
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 18:39:24.172
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 18:39:24.032
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 12:56:25.808
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Users\Helmaduo\AppData\Local\Temp\tmpFE70.tmp" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-06-11 12:56:25.683
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Users\Helmaduo\AppData\Local\Temp\tmpFE70.tmp" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info =========================== 

Percentage of memory in use: 41%
Total physical RAM: 2972 MB
Available physical RAM: 1751.13 MB
Total Pagefile: 6180.29 MB
Available Pagefile: 4803.76 MB
Total Virtual: 2047.88 MB
Available Virtual: 1904.77 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:149.05 GB) (Free:82.5 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 149 GB) (Disk ID: 219783C0)
Partition 1: (Active) - (Size=149 GB) - (Type=07 NTFS)

==================== End Of Log ============================
         
__________________

Alt 11.06.2013, 20:31   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Fix mit FRST
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess
U3 uglyipog; \??\C:\Users\Helmaduo\AppData\Local\Temp\uglyipog.sys [x]
ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\00000001.@
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\80000000.@
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\800000cb.@
         
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Fix Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


Und ein frisches FRST Log bitte.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 11.06.2013, 21:28   #5
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Danke für die schnelle response...

fixlist erstellt
fix completed

FIXLOG
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-06-2013 03
Ran by Helmaduo at 2013-06-11 21:15:06 Run:1
Running from C:\Users\Helmaduo\Desktop\frst
Boot Mode: Normal

==============================================

HKLM\Software\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\\Default => Value was restored successfully.
HKCR\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\\Default => Value was restored successfully.
uglyipog => Service deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec => Directory moved successfully.

"C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec" directory move:

C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@ => Moved successfully.
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n => Moved successfully.
Could not move "C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec" directory. => Scheduled to move on reboot.

C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@ => File/Directory not found.
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n => File/Directory not found.

"C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U" directory move:

Could not move "C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U" directory. => Scheduled to move on reboot.

C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\00000001.@ => File/Directory not found.
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\80000000.@ => File/Directory not found.
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\800000cb.@ => File/Directory not found.

=========== Result of Scheduled Files to move ===========
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec => Deleted successfully.
C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U => Is moved successfully.

==== End of Fixlog ====
         
Neuer Scan (siehe Anhang!)
Antivir meldet den "alten" Trojana jetzt im Quarantaine Verzeichnis von FRST...


Alt 12.06.2013, 08:09   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
--> Mehrere Troj-Funde in Recycle.Bin

Alt 12.06.2013, 11:50   #7
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Guten Morgen

Combofix lief ohne die erwartete Fehlermeldung durch.
Am Anfang gab es Fehlermeldungen bzgl AviraDesktop (echtzeitscan war deaktiviert wurde aber als aktiv gemeldet ? )

Hier das Log-File:
Code:
ATTFilter
ComboFix 13-06-08.02 - Helmaduo 12.06.2013  11:29:59.1.1 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.2972.1963 [GMT 2:00]
ausgeführt von:: c:\users\Helmaduo\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-12 bis 2013-06-12  ))))))))))))))))))))))))))))))
.
.
2013-06-12 09:37 . 2013-06-12 09:37	--------	d-----w-	c:\users\Gast\AppData\Local\temp
2013-06-12 09:37 . 2013-06-12 09:37	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-06-12 09:37 . 2013-06-12 09:37	--------	d-----w-	c:\users\Admin\AppData\Local\temp
2013-06-12 09:37 . 2013-06-12 09:42	--------	d-----w-	c:\users\Helmaduo\AppData\Local\temp
2013-06-11 16:39 . 2013-06-11 19:17	--------	d-----w-	C:\FRST
2013-06-11 08:59 . 2013-06-11 08:59	74136	----a-w-	c:\program files\Mozilla Firefox\breakpadinjector.dll
2013-06-11 08:59 . 2013-06-11 08:59	96664	----a-w-	c:\program files\Mozilla Firefox\webapprt-stub.exe
2013-06-11 08:59 . 2013-06-11 08:59	26520	----a-w-	c:\program files\Mozilla Firefox\plugin-hang-ui.exe
2013-06-11 08:59 . 2013-06-11 08:59	170232	----a-w-	c:\program files\Mozilla Firefox\webapp-uninstaller.exe
2013-05-20 22:05 . 2013-05-20 22:05	--------	d-----w-	c:\users\Gast\AppData\Local\Nero
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-16 11:31 . 2013-04-16 13:09	37352	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-04-16 11:31 . 2013-04-16 13:09	84744	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-04-16 11:31 . 2013-04-16 13:09	135136	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-06-11 08:59 . 2011-04-22 11:21	263064	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-11 186904]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe" [2009-04-02 474168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-05-09 345312]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.exe.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-12-11 14:57	948672	----a-r-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57	35760	----a-w-	c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57	369200	----a-w-	c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 23:47	31016	----a-w-	c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-02-10 16:38	133368	----a-w-	c:\program files\ICQ7.0\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-05-08 08:35	2780432	----a-w-	c:\program files\Logitech\Logitech WebCam Software\LWS.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" -bootmode
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe"
"B2C_AGENT"=c:\programdata\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
"CanonSolutionMenu"=c:\program files\Canon\SolutionMenu\CNSLMAIN.exe /logon
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2013-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-18 15:39]
.
2013-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-18 15:39]
.
2013-06-12 c:\windows\Tasks\User_Feed_Synchronization-{F322D62A-BB68-4FF1-AC26-2D9649AF848B}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Free YouTube Download - c:\users\Helmaduo\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - ExtSQL: !HIDDEN! 2010-07-29 12:37; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Adobe Photoshop Elements 1.0 - c:\windows\ISUN0407.EXE
AddRemove-Adobe SVG Viewer - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-12 11:42
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BFE]
"ImagePath"="."
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc]
"ImagePath"="."
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\ChgService.exe
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\TeamViewer\Version5\TeamViewer_Service.exe
c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\conime.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\vssvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-06-12  11:46:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-06-12 09:46
.
Vor Suchlauf: 11 Verzeichnis(se), 88.568.676.352 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 88.861.089.792 Bytes frei
.
- - End Of File - - FFE8692CC64943DEE8D2A84EAA4A93BC
5C616939100B85E558DA92B899A0FC36
         

Alt 12.06.2013, 12:57   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



schaut gut aus

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST Logfile. Noch Probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 13.06.2013, 10:55   #9
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Moin
2 Probleme...

1. JRT läuft nicht durch. Er geht immer bis scanning registry, wird dann extrem langsam und macht nix mehr ...

2. Online scan (benötigt der scan durchgehende Verbindung bzw fallen viele Daten an?
Der Laptop ist auf malle und jeder MB kostet ne menge

Die anderen beiden mach ich jetzt erstmal

Alt 13.06.2013, 11:11   #10
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



FRST


FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 11-06-2013 03
Ran by Helmaduo (administrator) on 13-06-2013 11:05:29
Running from C:\Users\Helmaduo\Desktop\frst
Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Apple Computer, Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\Windows\system32\ChgService.exe
(Logitech Inc.) C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
(Nero AG) C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
(TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(Conexant Systems, Inc.) C:\Program Files\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Microsoft Corporation) C:\Windows\WindowsMobile\wmdSync.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe
(MAGIX AG) C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Microsoft Corporation) C:\Windows\system32\msiexec.exe
(Microsoft Corporation) C:\Windows\System32\mobsync.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-02-11] (Intel Corporation)
HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe [474168 2009-04-02] (Conexant Systems, Inc.)
HKLM\...\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe [215552 2008-01-21] (Microsoft Corporation)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345312 2013-05-09] (Avira Operations GmbH & Co. KG)
HKCU\...\Policies\system: [DisableRegistryTools] 0
HKCU\...\Policies\system: [DisableTaskMgr] 0
HKU\Admin\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized [ 2010-05-13] (Skype Technologies S.A.)
HKU\Gast\...\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode [ 2009-04-30] (Logitech Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL (Microsoft Corporation)
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2210608 2006-10-27] (Microsoft Corporation)
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

FireFox:
========
FF ProfilePath: C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default
FF Homepage: hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=1.0.5 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi
FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86752 2013-04-16] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816 2013-04-16] (Avira Operations GmbH & Co. KG)
S3 BFE; C:\Windows\System32\. [0 2013-06-13] ()
R2 Change Modem Device Service; C:\Windows\system32\ChgService.exe [135168 2009-03-12] ()
R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128 2011-05-24] (MAGIX AG)
S3 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®)
S3 MpsSvc; C:\Windows\System32\. [0 2013-06-13] ()
S3 TuneUp.Defrag; C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [435016 2010-03-18] (TuneUp Software)
R2 TuneUp.UtilitiesSvc; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [1047880 2010-02-25] (TuneUp Software)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-16] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-16] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-16] (Avira Operations GmbH & Co. KG)
S3 cmnsusbser; C:\Windows\System32\DRIVERS\cmnsusbser.sys [103424 2008-10-31] (Mobile Connector)
R3 L1C; C:\Windows\System32\DRIVERS\L1C60x86.sys [50176 2009-04-08] (Atheros Communications, Inc.)
R3 LVPr2Mon; C:\Windows\System32\DRIVERS\LVPr2Mon.sys [25624 2009-04-30] ()
S4 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-03-18] (Duplex Secure Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-04-16] (Avira GmbH)
R3 TuneUpUtilitiesDrv; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [10064 2010-02-25] (TuneUp Software)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-13 10:57 - 2013-06-13 10:57 - 00257408 ____A C:\Windows\msxml4-KB973685-enu.LOG
2013-06-12 14:25 - 2013-06-12 20:04 - 00000000 ____D C:\JRT
2013-06-12 14:25 - 2013-06-12 14:25 - 00000000 ____D C:\Windows\ERUNT
2013-06-12 14:19 - 2013-06-12 14:20 - 00001120 ____A C:\AdwCleaner[S2].txt
2013-06-12 14:18 - 2013-06-12 14:18 - 00890839 ____A C:\Users\Helmaduo\Desktop\SecurityCheck.exe
2013-06-12 14:17 - 2013-06-12 14:17 - 02347384 ____A (ESET) C:\Users\Helmaduo\Desktop\esetsmartinstaller_enu.exe
2013-06-12 14:17 - 2013-06-12 14:17 - 00545954 ____A (Oleg N. Scherbakov) C:\Users\Helmaduo\Desktop\JRT.exe
2013-06-12 11:47 - 2013-06-12 11:47 - 00010671 ____A C:\ComboFix.txt
2013-06-12 11:44 - 2013-06-12 11:44 - 00000360 ____A C:\Users\Helmaduo\Desktop\Download - Verknüpfung.lnk
2013-06-12 11:43 - 2013-06-12 11:43 - 00000000 ____D C:\Users\Helmaduo\Desktop\Wartung
2013-06-12 11:22 - 2011-06-26 08:45 - 00256000 ____A C:\Windows\PEV.exe
2013-06-12 11:22 - 2010-11-07 19:20 - 00208896 ____A C:\Windows\MBR.exe
2013-06-12 11:22 - 2009-04-20 06:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-06-12 11:22 - 2000-08-31 02:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-06-12 11:22 - 2000-08-31 02:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-06-12 11:22 - 2000-08-31 02:00 - 00098816 ____A C:\Windows\sed.exe
2013-06-12 11:22 - 2000-08-31 02:00 - 00080412 ____A C:\Windows\grep.exe
2013-06-12 11:22 - 2000-08-31 02:00 - 00068096 ____A C:\Windows\zip.exe
2013-06-12 11:17 - 2013-06-12 11:47 - 00000000 ____D C:\Qoobox
2013-06-12 11:16 - 2013-06-12 11:45 - 00000000 ____D C:\Windows\erdnt
2013-06-12 11:14 - 2013-06-12 11:15 - 05078680 ____R (Swearware) C:\Users\Helmaduo\Desktop\ComboFix.exe
2013-06-11 21:13 - 2013-06-12 11:48 - 00000000 ____D C:\Users\Helmaduo\Desktop\frst
2013-06-11 18:39 - 2013-06-11 21:17 - 00000000 ____D C:\FRST
2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable
2013-06-11 12:16 - 2013-06-11 12:17 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe
2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe
2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe
2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe
2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini
2013-06-11 11:02 - 2006-09-18 23:41 - 00000761 ____A C:\Windows\System32\Drivers\etc\hosts.20130611-110231.backup
2013-05-21 00:06 - 2013-05-21 00:07 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss
2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero

==================== One Month Modified Files and Folders ========

2013-06-13 11:01 - 2008-01-21 09:16 - 01445136 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-13 10:58 - 2008-01-21 03:35 - 01921325 ____A C:\Windows\WindowsUpdate.log
2013-06-13 10:57 - 2013-06-13 10:57 - 00257408 ____A C:\Windows\msxml4-KB973685-enu.LOG
2013-06-13 10:48 - 2010-03-18 17:39 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-06-13 10:48 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-13 10:48 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-13 10:47 - 2010-07-20 15:03 - 00000000 ____A C:\Windows\System32\Drivers\lvuvc.hs
2013-06-13 10:47 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-12 23:20 - 2010-03-18 17:39 - 00001096 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-06-12 20:04 - 2013-06-12 14:25 - 00000000 ____D C:\JRT
2013-06-12 14:25 - 2013-06-12 14:25 - 00000000 ____D C:\Windows\ERUNT
2013-06-12 14:20 - 2013-06-12 14:19 - 00001120 ____A C:\AdwCleaner[S2].txt
2013-06-12 14:20 - 2006-11-02 15:01 - 00032628 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-12 14:18 - 2013-06-12 14:18 - 00890839 ____A C:\Users\Helmaduo\Desktop\SecurityCheck.exe
2013-06-12 14:17 - 2013-06-12 14:17 - 02347384 ____A (ESET) C:\Users\Helmaduo\Desktop\esetsmartinstaller_enu.exe
2013-06-12 14:17 - 2013-06-12 14:17 - 00545954 ____A (Oleg N. Scherbakov) C:\Users\Helmaduo\Desktop\JRT.exe
2013-06-12 11:49 - 2010-03-26 23:51 - 00000424 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{F322D62A-BB68-4FF1-AC26-2D9649AF848B}.job
2013-06-12 11:48 - 2013-06-11 21:13 - 00000000 ____D C:\Users\Helmaduo\Desktop\frst
2013-06-12 11:47 - 2013-06-12 11:47 - 00010671 ____A C:\ComboFix.txt
2013-06-12 11:47 - 2013-06-12 11:17 - 00000000 ____D C:\Qoobox
2013-06-12 11:47 - 2006-11-02 13:18 - 00000000 __RHD C:\users\Default
2013-06-12 11:47 - 2006-11-02 13:18 - 00000000 ___RD C:\users\Public
2013-06-12 11:45 - 2013-06-12 11:16 - 00000000 ____D C:\Windows\erdnt
2013-06-12 11:44 - 2013-06-12 11:44 - 00000360 ____A C:\Users\Helmaduo\Desktop\Download - Verknüpfung.lnk
2013-06-12 11:43 - 2013-06-12 11:43 - 00000000 ____D C:\Users\Helmaduo\Desktop\Wartung
2013-06-12 11:42 - 2006-11-02 12:23 - 00000215 ____A C:\Windows\system.ini
2013-06-12 11:39 - 2008-01-21 04:47 - 00082878 ____A C:\Windows\PFRO.log
2013-06-12 11:15 - 2013-06-12 11:14 - 05078680 ____R (Swearware) C:\Users\Helmaduo\Desktop\ComboFix.exe
2013-06-11 21:17 - 2013-06-11 18:39 - 00000000 ____D C:\FRST
2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable
2013-06-11 12:18 - 2010-03-21 22:23 - 00000000 ____D C:\users\Helmaduo
2013-06-11 12:17 - 2013-06-11 12:16 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe
2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe
2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe
2013-06-11 11:56 - 2010-03-18 17:41 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Skype
2013-06-11 11:54 - 2012-09-24 09:53 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-06-11 11:52 - 2010-07-31 10:37 - 00000000 ____D C:\Program Files\Common Files\DVDVideoSoft
2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe
2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini
2013-06-11 10:59 - 2010-03-18 17:19 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-11 10:54 - 2012-09-09 15:28 - 00000000 ____D C:\Program Files\Spybot - Search & Destroy
2013-06-07 11:35 - 2013-04-25 11:56 - 00000000 ____D C:\Users\Helmaduo\Desktop\Pool
2013-06-07 11:34 - 2012-09-26 20:01 - 00000000 ____D C:\Users\Helmaduo\Desktop\Neuer Ordner
2013-06-02 17:21 - 2006-11-02 12:24 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe
2013-05-22 15:44 - 2010-03-22 10:01 - 00000000 ____D C:\Users\Gast\AppData\Roaming\vlc
2013-05-22 15:44 - 2006-11-02 14:52 - 00096680 ____A C:\Windows\setupact.log
2013-05-21 00:07 - 2013-05-21 00:06 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss
2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero
2013-05-21 00:05 - 2011-07-02 21:51 - 00000000 ____D C:\Users\Gast\AppData\Roaming\Nero

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-13 10:55

==================== End Of Log ============================
         
--- --- ---



Security-Scan

Alt 13.06.2013, 12:03   #11
schrauber
/// the machine
/// TB-Ausbilder
 

Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Der Scan dauert schon ne weile. Lass den einfach weg. Noch Probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 13.06.2013, 13:09   #12
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Daumen hoch

Mehrere Troj-Funde in Recycle.Bin



Holla (wie der spanier sagen würde)

die checkup.txt fehlte noch:
Code:
ATTFilter
Results of screen317's Security Check version 0.99.64  
 Windows Vista Service Pack 1 x86   
 Out of date service pack!! 
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Spybot - Search & Destroy 
 TuneUp Utilities    
 TuneUp Utilities Language Pack (de-DE) 
 TuneUp Utilities    
 Adobe Flash Player 10 Flash Player out of Date! 
  Adobe Flash Player 	10.3.183.7 Flash Player out of Date!  
 Adobe Reader 9 Adobe Reader out of Date! 
 Mozilla Firefox 20.0.1 Firefox out of Date!  
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````
         
Probleme sehe ich im Moment keine mehr... den JRT lass ich nochmal durchlaufen, aber beim letzten mal habe ich nach 5 std abgebrochen...

Firefox und flash-player, sowie windows werden jetzt erstmal geupdated!

Alt 13.06.2013, 19:33   #13
schrauber
/// the machine
/// TB-Ausbilder
 

Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Und Adobe auch . Dann wären wir fertig

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Falls Du Lob/Kritik loswerden möchtest:
Lob, Kritik und Wünsche - Trojaner-Board


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 15.06.2013, 12:56   #14
Elessarion
 
Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Vielen Vielen Dank!
System läuft wieder stabil und sauber!
Super hilfe und schnelle antworten!

Alt 15.06.2013, 15:35   #15
schrauber
/// the machine
/// TB-Ausbilder
 

Mehrere Troj-Funde in Recycle.Bin - Standard

Mehrere Troj-Funde in Recycle.Bin



Gern Geschehen
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Mehrere Troj-Funde in Recycle.Bin
admin, antivir, avira, cmd, dateien, daten, fehlermeldung, gmer, hoffe, interne, internet, laptop, löschen, manuell, ordner, recycle.bin, schonmal, seite, sofort, suche, trojaner, verschiedene, verweisen, virusmeldungen, woche, wochen, zugriff



Ähnliche Themen: Mehrere Troj-Funde in Recycle.Bin


  1. Windows 7 mehrere funde via Eset
    Log-Analyse und Auswertung - 21.03.2015 (19)
  2. Malwarebytes mehrere Funde, auch Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 31.07.2014 (9)
  3. Windows 7: mehrere Funde, u.a. Java.lamar.skw.217
    Log-Analyse und Auswertung - 05.07.2014 (13)
  4. Mehrere PUP Funde
    Log-Analyse und Auswertung - 12.09.2013 (15)
  5. Mehrere Funde durch Malwarebytes
    Log-Analyse und Auswertung - 13.06.2013 (13)
  6. TR/ATRAPS.Gen2 in C:\$Recycle.Bin\...\U\80000032.@ und TR/Sirefef.abx in C:\$Recycle.Bin\...\U\000000
    Log-Analyse und Auswertung - 05.04.2013 (19)
  7. Groupon-Trojaner - mehrere Funde
    Log-Analyse und Auswertung - 14.03.2013 (9)
  8. Mehrere PUP.Blabbers Funde
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (26)
  9. Mehrere verschiedene Funde von Avira
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (28)
  10. eine url - mehrere funde
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (1)
  11. Trojaner 'PWS-Zbot.gen.gm' in 'C:\Recycle.Bin\Recycle.Bin.exe' - evtl. für Phishing verantwortlich?
    Plagegeister aller Art und deren Bekämpfung - 06.07.2011 (1)
  12. TR/Kazy.24828 [trojan] in file 'C:\Recycle.Bin\Recycle.Bin.exe. gefunden.
    Plagegeister aller Art und deren Bekämpfung - 16.06.2011 (18)
  13. Trojanerbefall TR/Agent.ar.55 und TR/Jorik.SpyEyes.no; C:\Recycle.Bin\Recycle.Bin.exe
    Log-Analyse und Auswertung - 09.06.2011 (31)
  14. Mehrere Funde an Viren&Trojanern---Wie schlimm ist es ?
    Log-Analyse und Auswertung - 14.04.2010 (2)
  15. Mehrere Trojaner Funde
    Log-Analyse und Auswertung - 13.09.2009 (3)
  16. Mehrere Funde bei Mbam
    Plagegeister aller Art und deren Bekämpfung - 17.04.2009 (0)
  17. Mehrere Funde! Bitte um Hilfe
    Log-Analyse und Auswertung - 26.06.2007 (18)

Zum Thema Mehrere Troj-Funde in Recycle.Bin - Hallo zusammmen! Ich bin über verschiedene Suchen im Internet auf diese Seite gestoßen und hoffe ihr könnt mir helfen. Bei dem Laptop meiner Eltern tauchen seit einigen Tagen oder Wochen - Mehrere Troj-Funde in Recycle.Bin...
Archiv
Du betrachtest: Mehrere Troj-Funde in Recycle.Bin auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.