Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win7 Dienste gekapert.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.08.2013, 03:02   #1
lydia_eule
 
Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



Hallo, die dumme kleine Eule nochmal.

Nachdem Cosinus mich dankenswerterweise durch eine erste recht umfängliche Prüfung und auch etwas reinigung meines eeepc mit win 7 starter edition geleitet hatte und ich erstmal etwas Arbeit zu erledigen hatte melde ich mich nun hier zurück, da Cosinus mir riet, mit weitergehenden Fragen doch hier nochmal einen Thread zu eröffnen.

Wie fange ich an?

Nunja, ich fand beim Aufräumen im Rechner ein paar "log"-dateien (vermeintlich harmlose .txt-files, die aber wie ich zu erkennen glaubte ziemlich viel mit Zugriffsberechtigungen auflisten). besah mir das und bekam ein recht deutlich ungutes Gefühl. Da bis dahin kaum größere Fehler oder Probleme aufgetreten waren kam jedoch keine Panik auf, ich schaute nur mal an ein paar Stellen herum, die ich von früheren Rechnern als evtl ein wenig anfällig kannte. Dazu gehörten so die Registry, Services, ein paar ini, inf, dll und dergleichen mehr. Einige Services zeigten sich als mit Kennwort belegt, das aber nicht von mir stammt. Nunja, dann kam die Aktion mit Cosinus hier vom Board.

mittlerweile weigerte sich windows aber, die ständig fälligen updates korrekt auszuführen, die windows-eigene "Problembehandlung" weigert sich nunmehr ob eines Problems mit der Problembehandlung zu funktionieren, ein Teil der NET- Konsolebefehle werfen mir Fehler aus, ich hätte keine ausreichenden Userprivilegien oder es könne nicht alles aufgelistet werden. Mittlerweile werden LAN- wie WLAN-Verbindungen generell als "eingeschränkt" oder fälschlich als "nicht verbunden" angezeigt.
Da ich einerseits den Rechner nicht gern neu aufsetzen, andererseits dabei vllt etwas mehr über das mir noch recht fremde Windows 7 lernen möchte erbitte ich nun hier Hilfe bei der Lösung der Probleme.

hoffend,

die eule

Alt 07.08.2013, 07:11   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)



Downloade dir bitte Farbar Service Scanner Farbar Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.


__________________

__________________

Alt 07.08.2013, 11:11   #3
lydia_eule
 
Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



Danke für die schnelle Antwort.


FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 07-08-2013
Ran by asl (administrator) on 07-08-2013 11:50:09
Running from C:\Users\asl\Desktop\res
Microsoft Windows 7 Starter  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
() C:\Windows\System32\AsusService.exe
() C:\Program Files\GNU\GnuPG\dirmngr.exe
(Microsoft Corporation) C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
(Microsoft Corporation) C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(ASUSTeK Computer Inc.) C:\Program Files\EeePC\HotkeyService\HotKeyMon.exe
(ASUSTeK Computer Inc.) C:\Program Files\EeePC\HotkeyService\HotkeyService.exe
() C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe
(ASUSTeK Computer Inc.) C:\Program Files\EeePC\SHE\SuperHybridEngine.exe
(ASUS) C:\Program Files\EeePC\CapsHook\CapsHook.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\windows\system32\igfxsrvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(TrueCrypt Foundation) C:\Program Files\TrueCrypt\TrueCrypt.exe
(Opera Software) C:\Program Files\Opera\opera.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IAAnotif] - C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-06-05] (Intel Corporation)
HKLM\...\Run: [HotkeyMon] - C:\Program Files\EeePC\HotkeyService\HotKeyMon.exe [100328 2009-09-11] (ASUSTeK Computer Inc.)
HKLM\...\Run: [HotkeyService] - C:\Program Files\EeePC\HotkeyService\HotkeyService.exe [1242544 2010-06-04] (ASUSTeK Computer Inc.)
HKLM\...\Run: [SuperHybridEngine] - C:\Program Files\EeePC\SHE\SuperHybridEngine.exe [412600 2010-06-09] (ASUSTeK Computer Inc.)
HKLM\...\Run: [LiveUpdate] - C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe [751592 2010-01-29] ()
HKLM\...\Run: [CapsHook] - C:\Program Files\EeePC\CapsHook\CapsHook.exe [445344 2010-05-29] (ASUS)
HKLM\...\Run: [Eee Docking] - C:\Program Files\ASUS\Eee Docking\Eee Docking.exe [415920 2010-03-30] ()
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [9177632 2010-06-22] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1594664 2010-04-13] (Synaptics Incorporated)
HKLM\...\Run: [ASUSPRP] - C:\Program Files\ASUS\APRP\APRP.EXE [2018032 2010-06-24] (ASUSTek Computer Inc.)
HKLM\...\Run: [SynAsusAcpi] - C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe [83240 2010-04-13] (Synaptics Incorporated)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-08-05] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [EvtMgr6] - C:\Program Files\Logitech\SetPointP\SetPoint.exe [2238704 2013-02-21] (Logitech, Inc.)
Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll [X]
HKCU\...\Run: [TrueCrypt] - C:\Program Files\TrueCrypt\TrueCrypt.exe [1496528 2010-11-21] (TrueCrypt Foundation)
HKU\Default\...\RunOnce: [Reboot] - AsusSender.exe C:\Windows\AP\Reboot.exe 60 [x]

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://eeepc.asus.com
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
BHO: Logitech SetPoint - {AF949550-9094-4807-95EC-D1C317803333} - C:\Program Files\Logitech\SetPointP\SetPointSmooth.dll (Logitech, Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO: SmartSelect Class - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
Toolbar: HKLM - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
Toolbar: HKCU -No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Winsock: Catalog9 01 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 03 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 04 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 05 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 06 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 07 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 08 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 42 C:\Program Files\Avira\AntiVir Desktop\avsda.dll [258104] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.254

========================== Services (Whitelisted) =================

S4 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-08-05] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-08-05] (Avira Operations GmbH & Co. KG)
S4 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [589368 2013-08-05] (Avira Operations GmbH & Co. KG)
R2 AsusService; C:\Windows\System32\AsusService.exe [219136 2009-08-19] ()
R2 DirMngr; C:\Program Files\GNU\GnuPG\dirmngr.exe [218112 2013-05-28] ()
S3 StkASSrv; C:\Windows\System32\StkASv2K.exe [24576 2006-05-24] (Syntek America Inc.)
S4 .AVQWindowsMonitorService; C:\Program Files\Avanquest\Fix-It\AVQWinMonEngine.exe [x]
S4 AQFileRestoreSrv; "C:\Program Files\Avanquest\Fix-It\AQFileRestoreSrv.exe" [x]
S4 BV; C:\Users\asl\AppData\Local\Temp\BV.exe [x]
S4 Fix-It Task Manager; C:\PROGRA~1\AVANQU~1\Fix-It\MxTask.exe -Service [x]
S4 FTAAG; C:\Users\asl\AppData\Local\Temp\FTAAG.exe [x]
S4 MVRBXYMUKTY; C:\Users\asl\AppData\Local\Temp\MVRBXYMUKTY.exe [x]
S4 QKHKZJ; C:\Users\asl\AppData\Local\Temp\QKHKZJ.exe [x]
S4 RichVideo; "C:\Program Files\CyberLink\Shared files\RichVideo.exe" [x]
S3 VHDWQBLKZ; C:\Users\asl\AppData\Local\Temp\VHDWQBLKZ.exe [x]

==================== Drivers (Whitelisted) ====================

R2 acedrv10; C:\windows\system32\drivers\acedrv10.sys [330144 2007-07-27] (Protect Software GmbH)
S2 acehlp10; C:\windows\system32\drivers\acehlp10.sys [251680 2007-07-27] (Protect Software GmbH)
S3 Afc; C:\Windows\System32\drivers\Afc.sys [18688 2006-11-10] (Arcsoft, Inc.)
S3 AQFileRestore; C:\Windows\System32\DRIVERS\AQFileRestore.sys [17944 2012-01-13] ()
R1 AsUpIO; C:\Windows\System32\drivers\AsUpIO.sys [11520 2010-06-21] ()
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-08-05] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-08-05] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-08-05] (Avira Operations GmbH & Co. KG)
S3 INIDVD; C:\Windows\System32\DRIVERS\inidvd.sys [16024 2009-08-05] (Initio Corporation)
R3 kbfiltr; C:\Windows\System32\DRIVERS\kbfiltr.sys [13880 2010-04-13] ( )
R2 NPF; C:\Windows\System32\drivers\npf.sys [50704 2010-01-15] (CACE Technologies, Inc.)
S3 PAC7302; C:\Windows\System32\DRIVERS\PAC7302.SYS [458752 2007-11-08] (PixArt Imaging Inc.)
S3 RTL2832UBDA; C:\Windows\System32\drivers\RTL2832UBDA.sys [188392 2010-07-01] (REALTEK SEMICONDUCTOR Corp.)
S3 RTL2832UUSB; C:\Windows\System32\Drivers\RTL2832UUSB.sys [32872 2010-07-01] (REALTEK SEMICONDUCTOR Corp.)
S3 SNPSTD3; C:\Windows\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-12-07] ()
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-08-05] (Avira GmbH)
S3 StkAMini; C:\Windows\System32\Drivers\StkAMini.sys [241628 2006-09-27] (Syntek America Inc.)
S3 StkScan; C:\Windows\System32\Drivers\StkScan.sys [4772 2006-08-02] (Syntek America Inc.)
S3 TrufosAlt; C:\Windows\System32\DRIVERS\TrufosAlt.sys [309320 2011-12-03] (BitDefender S.R.L.)
R3 WinDriver6; C:\Windows\System32\drivers\windrvr6.sys [316192 2004-07-26] (Jungo)
S3 btwaudio; system32\drivers\btwaudio.sys [x]
S3 btwavdt; \SystemRoot\system32\DRIVERS\btwavdt.sys [x]
S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [x]
S3 btwrchid; \SystemRoot\system32\DRIVERS\btwrchid.sys [x]
S3 Bulk1528; System32\Drivers\Bulk1528.sys [x]
S2 Ca1528av; System32\Drivers\Ca1528av.sys [x]
S3 PORTMON; \??\C:\Users\asl\Downloads\sysinternalssuite\PORTMSYS.SYS [x]
S3 tunnel; system32\DRIVERS\tunnel.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-07 11:49 - 2013-08-07 11:49 - 00000000 ____D C:\FRST
2013-08-07 11:43 - 2013-08-07 11:45 - 00000000 ____D C:\Users\asl\Desktop\res
2013-08-07 11:31 - 2013-08-07 11:31 - 00001174 _____ C:\Users\asl\Desktop\Start Tor Browser.exe - Verknüpfung.lnk
2013-08-07 05:16 - 2013-08-07 05:16 - 01952630 _____ C:\Users\asl\Downloads\wsusoffline85.zip
2013-08-07 01:24 - 2013-08-07 01:24 - 00000022 _____ C:\windows\S.dirmngr
2013-08-07 01:14 - 2013-08-07 01:14 - 00000000 ____D C:\Users\Public\Documents\Logishrd
2013-08-07 01:10 - 2013-08-07 01:10 - 00000000 ____D C:\ProgramData\Logitech
2013-08-07 01:09 - 2013-08-07 01:14 - 00000000 ____D C:\Program Files\Common Files\Logishrd
2013-08-07 01:09 - 2013-08-07 01:09 - 00000000 ____D C:\Program Files\Logitech
2013-08-07 00:00 - 2013-08-07 00:00 - 00131096 _____ C:\Users\asl\NETGEAR_DGND3800.2013.08.07.cfg
2013-08-05 22:58 - 2013-08-05 22:58 - 00000000 ____D C:\Users\asl\AppData\Roaming\Avira
2013-08-05 22:55 - 2013-08-05 22:55 - 00067168 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avnetflt.sys
2013-08-05 22:20 - 2013-08-05 22:20 - 00000000 ____D C:\Program Files\Avira
2013-08-05 22:20 - 2013-08-05 22:05 - 00135136 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys
2013-08-05 22:20 - 2013-08-05 22:05 - 00084744 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys
2013-08-05 22:20 - 2013-08-05 22:05 - 00037352 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys
2013-08-05 22:20 - 2013-08-05 22:05 - 00028520 _____ (Avira GmbH) C:\windows\system32\Drivers\ssmdrv.sys
2013-07-24 23:24 - 2013-06-28 01:47 - 00000677 _____ C:\Users\asl\Desktop\leslichk.k-.na-.carb.nitrate.txt.bak
2013-07-24 16:20 - 2013-07-24 16:20 - 00000000 ____D C:\Users\asl\AppData\Local\GNU
2013-07-24 16:20 - 2013-07-24 16:20 - 00000000 ____D C:\Users\asl\.kde
2013-07-24 15:48 - 2013-07-24 16:21 - 00000000 ____D C:\Users\asl\AppData\Roaming\gnupg
2013-07-24 15:48 - 2013-07-24 15:48 - 00000000 ____D C:\ProgramData\GNU
2013-07-24 15:47 - 2013-07-24 15:47 - 00000000 ____D C:\Program Files\GNU
2013-07-19 21:23 - 2013-07-19 21:24 - 00003564 _____ C:\AdwCleaner[S1].txt
2013-07-19 20:59 - 2013-07-19 20:59 - 00000000 ____D C:\windows\ERUNT
2013-07-18 08:09 - 2013-07-18 14:18 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2013-07-18 08:05 - 2013-07-19 21:38 - 00000000 ____D C:\Users\asl\Desktop\mbar.combofix
2013-07-18 01:45 - 2013-07-18 03:45 - 00000000 ____D C:\windows\erdnt
2013-07-17 19:50 - 2013-07-17 19:50 - 00000000 ____D C:\windows\pss
2013-07-16 01:11 - 2013-07-16 01:11 - 05030933 _____ C:\Users\asl\Downloads\RSW-Portable.zip
2013-07-14 21:11 - 2013-07-14 21:11 - 00000000 ____D C:\Users\asl\AppData\Roaming\Malwarebytes
2013-07-14 15:08 - 2013-07-14 15:11 - 208541524 _____ C:\Users\asl\regbckup.2013.07.14.reg
2013-07-11 23:13 - 2013-07-11 23:13 - 00000000 ____D C:\Users\asl\Downloads\backups
2013-07-11 22:03 - 2013-07-11 22:03 - 00007219 _____ C:\Users\asl\Desktop\hijackthis.2013.07.11.log
2013-07-11 14:33 - 2013-07-11 14:43 - 00000000 ____D C:\windows\system32\MRT
2013-07-09 01:12 - 2013-07-09 01:12 - 00000499 _____ C:\Users\asl\Desktop\Krabben mit Ananas und Gemüse. 1portion.txt

==================== One Month Modified Files and Folders =======

2013-08-07 11:49 - 2013-08-07 11:49 - 00000000 ____D C:\FRST
2013-08-07 11:45 - 2013-08-07 11:43 - 00000000 ____D C:\Users\asl\Desktop\res
2013-08-07 11:31 - 2013-08-07 11:31 - 00001174 _____ C:\Users\asl\Desktop\Start Tor Browser.exe - Verknüpfung.lnk
2013-08-07 06:24 - 2009-07-14 06:39 - 00102900 _____ C:\windows\setupact.log
2013-08-07 05:16 - 2013-08-07 05:16 - 01952630 _____ C:\Users\asl\Downloads\wsusoffline85.zip
2013-08-07 04:56 - 2010-10-17 23:53 - 01643551 _____ C:\windows\WindowsUpdate.log
2013-08-07 03:07 - 2009-07-14 06:34 - 00009696 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-07 03:07 - 2009-07-14 06:34 - 00009696 ____H C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-07 01:24 - 2013-08-07 01:24 - 00000022 _____ C:\windows\S.dirmngr
2013-08-07 01:24 - 2009-07-14 06:53 - 00000006 ____H C:\windows\Tasks\SA.DAT
2013-08-07 01:23 - 2010-10-18 12:08 - 00633902 _____ C:\windows\PFRO.log
2013-08-07 01:14 - 2013-08-07 01:14 - 00000000 ____D C:\Users\Public\Documents\Logishrd
2013-08-07 01:14 - 2013-08-07 01:09 - 00000000 ____D C:\Program Files\Common Files\Logishrd
2013-08-07 01:14 - 2010-11-08 14:22 - 00000000 ____D C:\ProgramData\Logishrd
2013-08-07 01:13 - 2010-11-08 14:22 - 00017848 _____ C:\windows\LDPINST.LOG
2013-08-07 01:10 - 2013-08-07 01:10 - 00000000 ____D C:\ProgramData\Logitech
2013-08-07 01:09 - 2013-08-07 01:09 - 00000000 ____D C:\Program Files\Logitech
2013-08-07 01:04 - 2011-02-25 00:17 - 00000000 ____D C:\Users\asl\Downloads\treiber
2013-08-07 00:27 - 2010-10-17 09:17 - 00000000 ____D C:\Users\asl
2013-08-07 00:00 - 2013-08-07 00:00 - 00131096 _____ C:\Users\asl\NETGEAR_DGND3800.2013.08.07.cfg
2013-08-06 00:02 - 2010-12-23 12:52 - 00000000 ___RD C:\Users\asl\Downloads\mplayer
2013-08-05 22:58 - 2013-08-05 22:58 - 00000000 ____D C:\Users\asl\AppData\Roaming\Avira
2013-08-05 22:55 - 2013-08-05 22:55 - 00067168 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avnetflt.sys
2013-08-05 22:20 - 2013-08-05 22:20 - 00000000 ____D C:\Program Files\Avira
2013-08-05 22:20 - 2010-11-21 06:04 - 00000000 ____D C:\ProgramData\Avira
2013-08-05 22:05 - 2013-08-05 22:20 - 00135136 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys
2013-08-05 22:05 - 2013-08-05 22:20 - 00084744 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys
2013-08-05 22:05 - 2013-08-05 22:20 - 00037352 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys
2013-08-05 22:05 - 2013-08-05 22:20 - 00028520 _____ (Avira GmbH) C:\windows\system32\Drivers\ssmdrv.sys
2013-08-05 19:06 - 2011-10-13 21:27 - 00000000 ____D C:\Users\asl\Downloads\ipcop
2013-08-05 18:08 - 2009-07-25 09:50 - 01557494 _____ C:\windows\system32\PerfStringBackup.INI
2013-08-05 16:46 - 2011-01-12 10:44 - 00000000 ____D C:\Users\asl\Programme
2013-08-01 02:14 - 2010-10-23 14:37 - 00016896 _____ C:\Users\asl\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-07-30 19:44 - 2013-01-19 13:10 - 00000000 ____D C:\Users\asl\AppData\Roaming\vlc
2013-07-29 20:50 - 2011-08-05 01:08 - 00000000 ____D C:\Users\asl\Downloads\_out
2013-07-25 22:01 - 2011-04-02 00:36 - 00000000 ____D C:\Users\asl\navi-1
2013-07-25 20:50 - 2011-01-15 04:42 - 00000000 ____D C:\Users\asl\Downloads\pn
2013-07-24 23:24 - 2013-07-05 23:39 - 00000709 _____ C:\Users\asl\Desktop\leslichk.k-.na-.carb.nitrate.txt
2013-07-24 16:21 - 2013-07-24 15:48 - 00000000 ____D C:\Users\asl\AppData\Roaming\gnupg
2013-07-24 16:20 - 2013-07-24 16:20 - 00000000 ____D C:\Users\asl\AppData\Local\GNU
2013-07-24 16:20 - 2013-07-24 16:20 - 00000000 ____D C:\Users\asl\.kde
2013-07-24 15:48 - 2013-07-24 15:48 - 00000000 ____D C:\ProgramData\GNU
2013-07-24 15:47 - 2013-07-24 15:47 - 00000000 ____D C:\Program Files\GNU
2013-07-24 02:08 - 2010-12-08 22:44 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-07-23 18:37 - 2010-10-18 20:50 - 00000000 ____D C:\Program Files\Opera
2013-07-20 01:05 - 2012-01-12 10:01 - 00000000 ____D C:\Users\asl\Downloads\sysinternalssuite
2013-07-19 21:38 - 2013-07-18 08:05 - 00000000 ____D C:\Users\asl\Desktop\mbar.combofix
2013-07-19 21:24 - 2013-07-19 21:23 - 00003564 _____ C:\AdwCleaner[S1].txt
2013-07-19 20:59 - 2013-07-19 20:59 - 00000000 ____D C:\windows\ERUNT
2013-07-19 20:47 - 2013-03-21 16:49 - 00000000 ____D C:\Users\asl\AppData\Roaming\Mozilla
2013-07-18 14:18 - 2013-07-18 08:09 - 00000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2013-07-18 06:47 - 2011-02-17 00:01 - 00001106 _____ C:\windows\system32\config\rules.rdb
2013-07-18 04:47 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Default
2013-07-18 04:47 - 2009-07-14 04:37 - 00000000 ___RD C:\Users\Public
2013-07-18 03:45 - 2013-07-18 01:45 - 00000000 ____D C:\windows\erdnt
2013-07-18 03:37 - 2009-07-14 04:04 - 00000215 _____ C:\windows\system.ini
2013-07-17 19:50 - 2013-07-17 19:50 - 00000000 ____D C:\windows\pss
2013-07-16 01:11 - 2013-07-16 01:11 - 05030933 _____ C:\Users\asl\Downloads\RSW-Portable.zip
2013-07-14 21:11 - 2013-07-14 21:11 - 00000000 ____D C:\Users\asl\AppData\Roaming\Malwarebytes
2013-07-14 19:33 - 2010-10-24 22:30 - 00000919 _____ C:\Users\asl\Desktop\MySyncFolder.lnk
2013-07-14 19:33 - 2010-10-17 09:17 - 00000000 ____D C:\Users\asl\AppData\Roaming\ASUS WebStorage
2013-07-14 15:11 - 2013-07-14 15:08 - 208541524 _____ C:\Users\asl\regbckup.2013.07.14.reg
2013-07-14 14:52 - 2010-12-21 02:06 - 00000000 ____D C:\Users\asl\html
2013-07-12 20:29 - 2013-07-05 03:15 - 00000000 ____D C:\Users\asl\Downloads\winFAQ
2013-07-12 18:54 - 2010-06-24 18:03 - 00055380 _____ C:\windows\DPINST.LOG
2013-07-11 23:13 - 2013-07-11 23:13 - 00000000 ____D C:\Users\asl\Downloads\backups
2013-07-11 22:03 - 2013-07-11 22:03 - 00007219 _____ C:\Users\asl\Desktop\hijackthis.2013.07.11.log
2013-07-11 20:50 - 2009-07-14 04:37 - 00000000 ____D C:\windows\Microsoft.NET
2013-07-11 14:43 - 2013-07-11 14:33 - 00000000 ____D C:\windows\system32\MRT
2013-07-09 01:12 - 2013-07-09 01:12 - 00000499 _____ C:\Users\asl\Desktop\Krabben mit Ananas und Gemüse. 1portion.txt
2013-07-08 14:29 - 2010-12-23 14:09 - 00000000 ____D C:\Users\asl\AppData\Roaming\JonDo

Files to move or delete:
====================
C:\Users\asl\reg-bckup.05.07.2013.reg
C:\Users\asl\regbckup.2013.07.14.reg

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-15 21:16

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---


Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 07-08-2013
Ran by asl at 2013-08-07 11:53:22
Running from C:\Users\asl\Desktop\res
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

32 Bit HP CIO Components Installer (Version: 1.1.0)
ACD/Labs Software in C:\Program Files\ACDFREE12\ (Version: v12.00, FREE)
Acrobat.com (Version: 1.6.65)
Adobe Acrobat 9 Pro - English, Français, Deutsch (Version: 9.0.0)
Adobe AIR (Version: 2.0.4.13090)
Adobe Flash Player 10 ActiveX (Version: 10.1.53.64)
Adobe Flash Player 11 Plugin (Version: 11.5.502.149)
Adobe Reader 9.4.1 MUI (Version: 9.4.1)
Adobe Shockwave Player 11.6 (Version: 11.6.8.638)
Adobe SVG Viewer 3.0 (Version:  3.0)
ArcSoft TotalMedia 3.5
ArcSoft WebCam Companion 2
ASUS VIBE (Version: 1.0.187)
ASUS WebStorage (Version: 3.0.84.161)
ASUSUpdate for Eee PC (Version: 1.04.01)
Atheros Client Installation Program (Version: 7.0)
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver (Version: 1.0.0.10)
Audacity 1.3.12 (Unicode)
Avira Free Antivirus (Version: 13.0.0.3885)
AVR Studio 4 (Version: 4.10.356)
Booster 1.05A02
Bridge Builder
Bug Brain
calibre (Version: 0.8.12)
Canon CanoScan Toolbox 5.0
CanoScan 4400F
CapsHook (Version: 1.0.0.5)
CCS64 V3.8 (Version: 1.0.0)
ChemToolBox version 1.1.0
Clonk Endeavour 4.95.5 (Version: 4.95.5)
Conceptronic CTVDIGUSB2 Device Utilities (Version: 3.0.0.0)
DVB-T USB BDA Driver
ebi.BookReader3J (Version: 3.75.14)
Eee Docking 3.7.0 (Version: 3.7.0)
EeeSplendid (Version: 5.1.2.0011)
ELECTRA 2.8
EncVorbis 1.1 (Version: 1.1)
eReg (Version: 1.20.138.34)
Evince 2.30.3 (Version: 2.30.3)
FontResizer (Version: 1.01.0011)
Free CD to MP3 Converter
Frhed 1.7.1 (Version: 1.7.1)
GnuWin32: NetPbm version 10.27 (Version: 10.27)
Gpg4win (2.1.1) (Version: 2.1.1)
GPL Ghostscript 9.00
Hotkey Service (Version: 1.27)
ImgBurn (Version: 2.5.3.0)
inSSIDer 2.0 (Version: 2.0.2)
Intel(R) Graphics Media Accelerator Driver (Version: 8.14.10.2230)
Intel® Matrix Storage Manager
JAP (Version: 00.13.001)
Java 7 Update 25 (Version: 7.0.250)
Java Auto Updater (Version: 2.1.9.5)
Java(TM) 6 Update 21 (Version: 6.0.210)
Java(TM) 6 Update 22 (Version: 6.0.220)
KONICA MINOLTA magicolor 2430DL
LAME v3.98.3 for Audacity
LG CyberLink Power2Go (Version: 6.2.3325)
LG Power Tools (Version: 6.0.3316)
LiveUpdate (Version: 1.21)
LocaleMe (Version: 1.3)
Logitech SetPoint 6.52 (Version: 6.52.74)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Application Error Reporting (Version: 12.0.6012.5000)
Microsoft GIF Animator
Microsoft Office 2010 (Version: 14.0.4763.1000)
Microsoft Office Klick-und-Los 2010 (Version: 14.0.4763.1000)
Microsoft Office Starter 2010 - Deutsch (Version: 14.0.4763.1000)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (Version: 8.0.50727.4053)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (Version: 9.0.30729.5570)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Monjas Breakout (Version: 1.1.34.0)
MP3 Parser DirectShow Filter (remove only)
MSVC80_x86_v2 (Version: 1.0.3.0)
MSVC90_x86 (Version: 1.0.1.2)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
MSXML 4.0 SP3 Parser (KB2721691) (Version: 4.30.2114.0)
MSXML 4.0 SP3 Parser (KB2758694) (Version: 4.30.2117.0)
MSXML 4.0 SP3 Parser (KB973685) (Version: 4.30.2107.0)
Nmap 5.20
Nokia Connectivity Cable Driver (Version: 7.1.45.0)
Oolite 1.76.0.4679
OpenOffice.org 3.4.1 (Version: 3.41.9593)
Opera 12.16 (Version: 12.16.1860)
PC Connectivity Solution (Version: 11.4.21.0)
PL-2303 USB-to-Serial (Version: 1.00.000)
PL-2303 Vista Driver Installer (Version: 3.0.1.0)
PosteRazor (Version: 1.5.2)
Programmer's Notepad 2 (Version: 2.2.0.2240)
ProtectDisc Helper Driver 10 (Version: 10.0.0.3)
Ralink RT2860 Wireless LAN Card (Version: 1.2.0.1)
Realtek High Definition Audio Driver (Version: 6.0.1.6098)
ReOrganize! (Version: 2.3.1)
Scope (Version: 1.22.0)
Sid Meier's Civilization 4 Complete (HKCU Version: 1.74)
Skype™ 5.10 (Version: 5.10.116)
SMPlayer 0.6.8 (Version: 0.6.8)
SPCA1528 PC Driver (Version: 2.2.3.7)
Super Hybrid Engine (Version: 2.16)
swMSM (Version: 12.0.0.1)
Synaptics Pointing Device Driver (Version: 14.0.16.0)
Target 3001! V15 discover (Version: )
Telescope Driver (Version: 10.30.09)
TrueCrypt (Version: 7.0a)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
USB PC Camera Plus (Version: 5.21.1.000)
VLC media player 2.0.5 (Version: 2.0.5)
Winamp (Version: 5.581 )
Winamp Detector Plug-in (HKCU Version: 1.0.0.1)
Windows Driver Package - Broadcom Bluetooth  (07/17/2009 6.2.0.9403) (Version: 07/17/2009 6.2.0.9403)
Windows Driver Package - Broadcom Bluetooth  (07/29/2009 6.1.7100.0) (Version: 07/29/2009 6.1.7100.0)
Windows Driver Package - Broadcom HIDClass  (07/28/2009 6.2.0.9800) (Version: 07/28/2009 6.2.0.9800)
Windows Media Player Firefox Plugin (Version: 1.0.0.8)
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0) (Version: 08/22/2008 7.0.0.0)
WinPcap 4.1.1 (Version: 4.1.0.1753)
WinRAR 4.01 (32-bit) (Version: 4.01.0)
Xiph.Org Ogg Codecs 0.83.17220 32-bit (Version: 0.83.17220)
 

==================== Restore Points  =========================

30-07-2013 19:12:56 Windows Update
31-07-2013 15:00:27 Windows Update
31-07-2013 23:35:23 Windows Update
01-08-2013 14:07:57 Windows Update
01-08-2013 14:24:30 Windows Update
02-08-2013 16:10:52 Windows Update
07-08-2013 01:11:50 Windows Update
07-08-2013 01:30:14 Removed Java(TM) 6 Update 21
07-08-2013 01:31:10 Removed Java(TM) 6 Update 22
07-08-2013 02:47:15 Windows Update
07-08-2013 02:55:03 Windows Update

==================== Hosts content: ==========================

2009-07-14 04:04 - 2013-07-18 03:27 - 00000027 ____A C:\windows\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {03B1E017-ADAD-4F6C-9FFF-F3FF1263B9B3} - System32\Tasks\{40231726-2AD1-4DDF-802B-B3592288EDF9} => C:\Users\asl\games\CCS64\ccs64109\CCS64.EXE [1997-10-19] ()
Task: {0B1D4333-A969-48B4-B66A-F8FA9459B107} - System32\Tasks\{3A4B8E9E-3491-4753-AA5B-4D963D0335CC} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {293AC247-9FEE-4B2E-8819-2408640F3744} - System32\Tasks\{8F6B01B5-DD6B-4F94-BDF3-5FCC6C2F4825} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {2D8DCBBD-DBF9-4B8C-9641-94AA1D73BCDC} - System32\Tasks\{6E18611D-A9BF-46D1-80E2-34C418CD88CD} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {3674CDBE-2E30-4559-A98D-615183B6E07A} - System32\Tasks\{7115B069-7D1D-43D7-B928-D4C346E7C4B7} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {39A74D49-2E87-4D8F-8998-54836FAFEC73} - System32\Tasks\{F50075FE-EDB8-4730-914C-A9F8493BC816} => C:\Program Files\Opera\Opera.exe [2013-07-23] (Opera Software)
Task: {47C5E7EA-0F15-4384-A0F2-B5D5AC4E4EFD} - System32\Tasks\{6E818BBE-FD87-4A3F-A1C9-868D6639A427} => C:\Windows\System32\msiexec.exe [2010-11-20] (Microsoft Corporation)
Task: {557E4D75-B3DD-4129-A026-03A38095DC18} - System32\Tasks\Microsoft\Windows\MUI\Lpksetup => C:\windows\System32\lpksetup.exe [2010-11-20] (Microsoft Corporation)
Task: {7122C574-17F2-41EA-950B-0F4DFDF3AEF1} - System32\Tasks\Microsoft\Windows\WindowsBackup\AutomaticBackup => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation)
Task: {7DF999DB-DFBB-4B96-AFBB-08A846C20FAF} - System32\Tasks\{D4C09B2F-F973-4EA7-9A45-ED71478418CB} => C:\windows\divpcam.exe No File
Task: {8F9F3C9D-27D1-40EB-AE25-41D558FC7FC7} - System32\Tasks\{EB06576D-1FB8-4C14-9E23-D871D30D8497} => C:\Franzis\AVR\AvrStudio4\AVRStudio.exe [2004-08-20] ()
Task: {99CD4632-F462-480A-AFB4-45EA4E679EAD} - System32\Tasks\{63E4BB1D-0171-494D-BBF1-12E3ECB51654} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {9B0BC181-4244-4940-90C2-88D404AB44DB} - System32\Tasks\{499A9D13-BA7F-42E1-B8F2-B447F5B5648C} => C:\Franzis\AVR\AvrStudio4\AVRStudio.exe [2004-08-20] ()
Task: {ADE0237C-7293-405E-B7B3-929CAB865F26} - System32\Tasks\{6F4FCA60-4D99-4CE2-A1D6-DEBF29286278} => C:\Users\asl\games\CCS64\ccs64109\CCS64.EXE [1997-10-19] ()
Task: {B2604337-5581-42FC-9F2C-C6BFD76BF951} - System32\Tasks\Microsoft\Windows\WindowsBackup\Windows Backup Monitor => C:\Windows\system32\sdclt.exe [2010-11-20] (Microsoft Corporation)
Task: {CC267A72-326B-405D-A724-233655919F38} - System32\Tasks\{3F7079CF-A8DD-40E5-A444-C5BB74D6ED31} => C:\Windows\System32\msiexec.exe [2010-11-20] (Microsoft Corporation)
Task: {CD61100B-E4E9-4E92-BFBE-ADD86DA9FDAC} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-11] (Microsoft Corporation)
Task: {E0A49F5F-1924-463F-9612-FA3527CF4D51} - System32\Tasks\{E214E448-29F2-4EBE-8CE6-AA894092ADEB} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {E3CFDE65-39F9-4C66-8ECB-55ED5455B0F5} - System32\Tasks\{5CA95D23-D5BE-4F50-BDC9-84C28E911DA1} => C:\Users\asl\games\CCS64\ccs32\ccs.exe [2000-01-24] ()
Task: {E550E20B-71C5-4500-8C08-153AE7111B2D} - System32\Tasks\{C964DC32-D255-4EFF-9D34-7D3DF95DC30E} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {E7A05E30-A508-4B3E-9C6A-F8437C0125C9} - System32\Tasks\{081D8737-4B15-49F6-A79F-833025871DBE} => C:\Program Files\IrfanView\i_view32.exe [2010-10-20] (Irfan Skiljan)
Task: {EFC83B69-FDCF-406C-B89D-BC6B8528BBEF} - System32\Tasks\{03DF4B75-1EAC-4C89-8399-B2A983CF45A2} => C:\Program Files\IrfanView\i_view32.exe [2010-10-20] (Irfan Skiljan)
Task: {F1B91D14-2453-440D-9BAB-A9D1771D5900} - System32\Tasks\{D95EA9D2-3154-4D80-A5B4-BD0730A36B74} => C:\Franzis\AVR\AvrStudio4\AVRStudio.exe [2004-08-20] ()
Task: {F3AC650F-D259-4F35-B7F1-B2710F13C1FB} - System32\Tasks\{BDFEC4C0-FD3D-496D-927F-01827624A0BD} => C:\Users\asl\games\simon5\simon5.exe No File
Task: {F6D37DDD-B9F0-434C-AFB3-6A0BEFC8C620} - System32\Tasks\{F9CDFE2D-E431-45E8-AFF9-444C3E3C4CC1} => C:\Users\asl\games\CCS64\ccs64109\CCS64.EXE [1997-10-19] ()
Task: {F8543B71-B76B-44C1-A2DA-09F3DC015BED} - System32\Tasks\{55F0F4C8-2DC8-4B0A-97D5-7863D5C2B04B} => C:\Users\asl\games\simon5\simon5.exe No File

==================== Faulty Device Manager Devices =============

Name: WAN Miniport (IKEv2)
Description: WAN Miniport (IKEv2)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: RasAgileVpn
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: WAN-Miniport (L2TP)
Description: WAN-Miniport (L2TP)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: Rasl2tp
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Microsoft-Adapter für Miniports virtueller WiFis
Description: Microsoft-Adapter für Miniports virtueller WiFis
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: vwifimp
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: WAN-Miniport (Netzwerkmonitor)
Description: WAN-Miniport (Netzwerkmonitor)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: NdisWan
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: WAN-Miniport (IP)
Description: WAN-Miniport (IP)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: NdisWan
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: WAN-Miniport (IPv6)
Description: WAN-Miniport (IPv6)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: NdisWan
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: WAN-Miniport (PPPOE)
Description: WAN-Miniport (PPPOE)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: RasPppoe
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: WAN-Miniport (PPTP)
Description: WAN-Miniport (PPTP)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: PptpMiniport
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: WAN-Miniport (SSTP)
Description: WAN-Miniport (SSTP)
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: RasSstp
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Could not start eventlog service, could not read events.

Windows-Ereignisprotokoll wird gestartet.
Windows-Ereignisprotokoll konnte nicht gestartet werden.

Ein Systemfehler ist aufgetreten.

Das System hat keinen Meldungstext f�r die Meldungsnummer 0x1069 in der Meldungsdatei (null) gefunden.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 4201 eingeben.


==================== Memory info =========================== 

Percentage of memory in use: 50%
Total physical RAM: 2038.15 MB
Available physical RAM: 1010.34 MB
Total Pagefile: 4076.3 MB
Available Pagefile: 2952.82 MB
Total Virtual: 2047.88 MB
Available Virtual: 1896.13 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:100 GB) (Free:14.08 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive f: () (Removable) (Total:29.71 GB) (Free:3.07 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 233 GB) (Disk ID: 29133921)
Partition 1: (Active) - (Size=100 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=15 GB) - (Type=1B)
Partition 3: (Not Active) - (Size=118 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=20 MB) - (Type=EF)

========================================================
Disk: 1 (Size: 30 GB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=30 GB) - (Type=0C)

==================== End Of Log ============================
         
Code:
ATTFilter
Farbar Service Scanner Version: 04-08-2013
Ran by asl (administrator) on 07-08-2013 at 12:07:33
Running from "C:\Users\asl\Desktop\res"
Microsoft Windows 7 Starter  Service Pack 1 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============
Dnscache Service is not running. Checking service configuration:
The start type of Dnscache service is OK.
The ImagePath of Dnscache service is OK.
The ServiceDll of Dnscache service is OK.


Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============


Windows Update:
============
cryptsvc Service is not running. Checking service configuration:
The start type of cryptsvc service is OK.
The ImagePath of cryptsvc service is OK.
The ServiceDll of cryptsvc: "%SystemRoot%\system32\cryptsvc.dll".


Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is OK.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Other Services:
==============


File Check:
========
C:\windows\system32\nsisvc.dll => MD5 is legit
C:\windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\windows\system32\dhcpcore.dll => MD5 is legit
C:\windows\system32\Drivers\afd.sys => MD5 is legit
C:\windows\system32\Drivers\tdx.sys => MD5 is legit
C:\windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\windows\system32\dnsrslvr.dll => MD5 is legit
C:\windows\system32\mpssvc.dll => MD5 is legit
C:\windows\system32\bfe.dll => MD5 is legit
C:\windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\windows\system32\SDRSVC.dll => MD5 is legit
C:\windows\system32\vssvc.exe => MD5 is legit
C:\windows\system32\wscsvc.dll => MD5 is legit
C:\windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\windows\system32\wuaueng.dll => MD5 is legit
C:\windows\system32\qmgr.dll => MD5 is legit
C:\windows\system32\es.dll => MD5 is legit
C:\windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\windows\system32\ipnathlp.dll => MD5 is legit
C:\windows\system32\iphlpsvc.dll => MD5 is legit
C:\windows\system32\svchost.exe => MD5 is legit
C:\windows\system32\rpcss.dll => MD5 is legit


**** End of log ****
         
__________________

Alt 07.08.2013, 19:23   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



Joah da sind einige Dienste verbogen.

Downloade dir bitte Windows Repair (All In One) von hier.
  • Installiere das Programm. Starte es, nachdem die Installation abgeschlossen wurde.
  • Klicke auf Step 2 und drücke unter Check Disk auf Do It.

  • Wenn der Vorgang abgeschlossen ist, klicke auf Step 3 und drücke unter System File Check auf Do It.

  • Nachdem der Vorgang abgeschlossen ist, klicke auf Start Repairs, wähle den Advanced Mode und drücke Start.

  • Gehe bitte sicher, dass die Kästchen wie unten zu sehen angehakt sind. Bitte hake zusätzlich noch Set Windows Services to Default Startup an.
  • Hake Restart System when Finished an.
  • Drücke Start.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 08.08.2013, 14:43   #5
lydia_eule
 
Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



Habe das jetzt ausgeführt, aber trotzdem stimmt da etwas nicht. Bei der Ausführung der Problembehandlung weil nunmehr keine WLAN-verbindung mehr aufgebaut wird kam die Fehlermeldung, der Diagnoserichtliniendienst werde nicht ausgeführt. der Versuch, das Ding "von Hand" anzuwerfen resultiert in:
" Fehler 1079 : Das für diesen Dienst angegebene Konto unterscheidet sich von dem für andere Dienste angegebenen Konto, die in diesem Dienst ausgeführt werden."

So langsam geht mir das echt auf den Keks.

liebe Grüße,

die eule


Geändert von lydia_eule (08.08.2013 um 14:43 Uhr) Grund: Gruß

Alt 08.08.2013, 18:10   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



poste mal ein frisches FSS logfile.
__________________
--> Win7 Dienste gekapert.

Alt 08.08.2013, 22:39   #7
lydia_eule
 
Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



Hier das FSS-LOG:

Code:
ATTFilter
Farbar Service Scanner Version: 04-08-2013
Ran by asl (administrator) on 08-08-2013 at 20:17:04
Running from "C:\Users\asl\Desktop\res"
Microsoft Windows 7 Starter  Service Pack 1 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
There is no connection to network.
Attempt to access Google IP returned error. Other errors
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\windows\system32\nsisvc.dll => MD5 is legit
C:\windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\windows\system32\dhcpcore.dll => MD5 is legit
C:\windows\system32\Drivers\afd.sys => MD5 is legit
C:\windows\system32\Drivers\tdx.sys => MD5 is legit
C:\windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\windows\system32\dnsrslvr.dll => MD5 is legit
C:\windows\system32\mpssvc.dll => MD5 is legit
C:\windows\system32\bfe.dll => MD5 is legit
C:\windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\windows\system32\SDRSVC.dll => MD5 is legit
C:\windows\system32\vssvc.exe => MD5 is legit
C:\windows\system32\wscsvc.dll => MD5 is legit
C:\windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\windows\system32\wuaueng.dll => MD5 is legit
C:\windows\system32\qmgr.dll => MD5 is legit
C:\windows\system32\es.dll => MD5 is legit
C:\windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\windows\system32\ipnathlp.dll => MD5 is legit
C:\windows\system32\iphlpsvc.dll => MD5 is legit
C:\windows\system32\svchost.exe => MD5 is legit
C:\windows\system32\rpcss.dll => MD5 is legit


**** End of log ****
         
Nachgedacht, darum Nachtrag:

Ich vermute, es ist keine Malware (mehr) im System, keine Ahnung wie und warum (ich habe da eine Vermutung, die ich aber nicht belegen kann - über die IPv6-Schiene, die von den zur Zeit des Eingriffes womöglich nicht per Firewall geschützt war, vllt auch ein offenes Türchen im .net-dingsbums), es ist jemand (oder etwas) eingedrungen, eine Backdoor eingerichtet und Zugriffsrechte "verbogen", in der Registry irgendwas verändert usw.. Dabei wurden ggf vor allem systemeigene Ressourcen eingesetzt, sodaß kein Malware-Scanner anschlug. Ich vermute ein verstecktes Benutzerkonto oder dergleichen, zu dem wohl die für mich nicht einsehbaren Passwörter gehören, die ich bei einigen Diensten fand und die auch die komischen Fehlermeldungen bezüglich des Einsatzes von Konsolebefehlen "NET ****" gehören. Weil die ganzen Dienste ja auch untereinander verbunden sind zieht dann das Eine das andere nach sich und so werden eben den Abhängigkeiten folgend Dienste auf einmal nicht mehr ausgeführt, weil sie eben für dieses versteckte Benutzerkonto reserviert wurden.
Meine Frage: wie findet man solche versteckten Benutzerkonten und/oder wie kann ich die genutzten Schlüssel auslesen?

hmm, vllt bin ich auch einfach zu blöd, blind oder behämmert und beginne schon, irgendwelche absurden Theorien zu entwickeln.

Gruß,
die eule

Alt 09.08.2013, 10:37   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



Sieht gut aus. An dieser Stelle würde ich zu einer Rep-Installation oder Neuaufsetzen tendieren.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 09.08.2013, 14:14   #9
lydia_eule
 
Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



gibt es keinen Weg, diese Dienste wieder meiner Kontrolle zu unterstellen? Ich versuche gerade, Gemeinsamkeiten bei den betroffenen Diensten zu ermitteln, die über das offensichtliche (also die Zugriffsrestriktion) hinausgehen und sie klar von anderen Diensten unterscheidet.

bitte bitte, mit Blumengirlande

lieben Gruß,

Lydia, die eule

Alt 10.08.2013, 09:25   #10
schrauber
/// the machine
/// TB-Ausbilder
 

Win7 Dienste gekapert. - Standard

Win7 Dienste gekapert.



Nö gibt es nicht, nicht per Ferndiagnose. Klar können wir jeden einzelnen Dienst per Regexport auslesen, recherchieren und fixen, dauert ungefähr en Jahr
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Win7 Dienste gekapert.
aufsetzen, dienste, dll, edition, eeepc, eingeschränkt, erkennen, fehler, frage, fragen, funktionieren, kleine, log, lösung, neu, panik, probleme, rechner, registry, services, updates, win, win7, windows, windows 7



Ähnliche Themen: Win7 Dienste gekapert.


  1. PC gekapert?
    Plagegeister aller Art und deren Bekämpfung - 06.04.2017 (9)
  2. Win7 Random Freeze & Dienste machen sich selbständig
    Alles rund um Windows - 31.07.2016 (5)
  3. Win7: Programme/Dienste lassen sich nicht starten + Help_Decrypt Befall
    Plagegeister aller Art und deren Bekämpfung - 19.01.2016 (42)
  4. Microsoft-Blog gekapert
    Nachrichten - 12.01.2014 (0)
  5. Metasploit-Domain gekapert
    Nachrichten - 11.10.2013 (0)
  6. Win7 Dienste starten nicht, Netzwerk aus etc.
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (7)
  7. Accounts des israelischen Vizepremiers von Hackern gekapert
    Nachrichten - 21.11.2012 (0)
  8. Rechner gekapert; wollen SFR 100.- für Deblockierung
    Log-Analyse und Auswertung - 28.08.2012 (15)
  9. Mailadresse gekapert, verschickt böse links
    Plagegeister aller Art und deren Bekämpfung - 03.04.2012 (0)
  10. Mögliche Virenverseuchung bei DIENSTE erkennen? DIENSTE vorsichtshalber deaktivieren?
    Log-Analyse und Auswertung - 29.01.2012 (1)
  11. Opera/Firefox und Office (?) gekapert
    Log-Analyse und Auswertung - 13.04.2011 (27)
  12. PC gekapert, wird als Mailversender mißbraucht, Arbeitsplan ableiten
    Plagegeister aller Art und deren Bekämpfung - 27.01.2011 (24)
  13. Domain des Sicherheitsdienstleisters Secunia gekapert
    Nachrichten - 25.11.2010 (0)
  14. Dienste nicht mehr im System32, zufälliges Beenden versch. Dienste
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (5)
  15. virenschutz gekapert - bagel?
    Log-Analyse und Auswertung - 04.03.2008 (9)
  16. Das Übliche... Startseite gekapert.
    Plagegeister aller Art und deren Bekämpfung - 14.02.2005 (3)
  17. Startseite gekapert, Trojaner werden wiederhergestellt
    Plagegeister aller Art und deren Bekämpfung - 17.11.2004 (4)

Zum Thema Win7 Dienste gekapert. - Hallo, die dumme kleine Eule nochmal. Nachdem Cosinus mich dankenswerterweise durch eine erste recht umfängliche Prüfung und auch etwas reinigung meines eeepc mit win 7 starter edition geleitet hatte und - Win7 Dienste gekapert....
Archiv
Du betrachtest: Win7 Dienste gekapert. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.