Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.08.2013, 12:51   #1
morpheus2276
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



Hallo,

ich habe mir irgendwie diesen verdammten GVU Trojaner eingefangen.
Was mein Problem schwieriger macht ist, dass mein Laufwerk mit Bitlocker verschlüsselt und
ich einige Anstalten machen musste um irgendetwas zu erreichen.

Mittlerweile habe ich es geschafft in den Reparaturmodus zu kommen und kann auf das Dateisystem zugreifen.

FRST64.exe startet, wirft aber ein nichtssagendes file aus, da mein Betriebsssystem auf D: liegt. Wie kann ich FRST beibringen D: statt C: zu scannen?

Gibt es eine andere Methode?
Wie gesagt, komme an alle files, CMD funktioniert, safe mode nicht, wiederherstellungspunkte leider auch nicht.

Danke für eure Hilfe!

ok, ein einfaches D: dahinter hat es wohl gebracht, also frst64.exe D:
anbei des frst.txt file


FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 16-08-2013
Ran by SYSTEM on 16-08-2013 13:49:41
Running from F:\
Windows 7 Enterprise (X64) OS Language: English(US)
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1861416 2009-10-08] (Synaptics Incorporated)
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10134560 2010-09-29] (Realtek Semiconductor)
HKLM\...\Run: [SAPinit] - C:\Program Files (x86)\SAP\RPW.reg [1206 2006-04-05] ()
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,"C:\Program Files (x86)\Microsoft Application Virtualization Client\sftdcc.exe"
HKLM-x32\...\Run: [SoftGridTray] - C:\Program Files (x86)\Microsoft Application Virtualization Client\SFTTray.exe [853352 2010-12-27] (Microsoft Corporation)
HKLM-x32\...\Run: [SVGViewer] - wscript.exe "C:\Program Files (x86)\Common Files\Adobe\SVG Viewer 3.0\CustomUser.vbs" [x]
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe [35768 2012-07-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [919008 2012-07-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [ShStatEXE] - C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE [215360 2011-09-14] (McAfee, Inc.)
HKLM-x32\...\Run: [McAfee Host Intrusion Prevention Tray] - C:\Program Files (x86)\McAfee\Host Intrusion Prevention\FireTray.exe [979104 2010-06-15] (McAfee, Inc.)
HKLM-x32\...\Run: [Adobe Acrobat Speed Launcher] - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe [36760 2012-01-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Acrobat Assistant 8.0] - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe [815512 2012-01-03] (Adobe Systems Inc.)
HKLM-x32\...\Run: [ConnectionCenter] - C:\Program Files (x86)\Citrix\ICA Client\concentr.exe [304568 2010-10-12] (Citrix Systems, Inc.)
HKLM-x32\...\Run: [JRE150_16_init] - C:\Program Files (x86)\Java\jre1.5.0_16\JREInit.bat [492 2011-11-09] ()
HKLM-x32\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe [701872 2013-01-23] (Cisco Systems, Inc.)
HKLM-x32\...\Run: [McAfeeUpdaterUI] - C:\Program Files (x86)\McAfee\Common Framework\udaterui.exe [333416 2012-11-27] (McAfee, Inc.)
HKU\Administrator\...\Policies\system: [NoDispScrSavPage] 1
HKU\Default\...\Policies\system: [NoDispScrSavPage] 1
HKU\Default User\...\Policies\system: [NoDispScrSavPage] 1
HKU\ng257ab\...\Policies\system: [NoDispScrSavPage] 1
HKU\ta-admin-ng257ab\...\Policies\system: [NoDispScrSavPage] 1
HKU\TH8706\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Temp\nxtncuwiyxuopqkxo.exe [62464 2013-08-16] (Valve Corporation) <===== ATTENTION
HKU\TH8706\...\Policies\system: [NoDispScrSavPage] 1
HKU\TH8706\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\TH8706\...\Command Processor: "C:\Temp\nxtncuwiyxuopqkxo.exe" <===== ATTENTION!
Startup: C:\Users\TH8706\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)

==================== Services (Whitelisted) =================

S2 ciscod.exe; C:\Program Files (x86)\Cisco\Cisco HostScan\bin\ciscod.exe [66480 2013-01-23] (Cisco Systems, Inc.)
S2 enterceptAgent; C:\Program Files (x86)\McAfee\Host Intrusion Prevention\FireSvc.exe [1498224 2010-06-15] (McAfee, Inc.)
S2 hips; C:\Program Files (x86)\McAfee\Host Intrusion Prevention\HIPSCore\x64\HIPSvc.exe [39840 2010-08-03] (McAfee, Inc.)
S2 MBAMAgent; C:\Program Files\Microsoft\MDOP MBAM\MBAMAgent.exe [239528 2011-06-14] (Microsoft Corp.)
S2 McAfeeFramework; C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe [132712 2012-11-27] (McAfee, Inc.)
S2 McShield; C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe [199008 2012-12-13] (McAfee, Inc.)
S2 McTaskManager; C:\Program Files (x86)\McAfee\VirusScan Enterprise\vstskmgr.exe [209760 2011-09-14] (McAfee, Inc.)
S2 mfevtp; C:\Windows\system32\mfevtps.exe [162192 2012-01-04] (McAfee, Inc.)
S2 RCAgentMgr; C:\Windows\system32\RCAgentMgr.exe [8704 2011-12-13] 
S2 SccmIpcheck; C:\Windows\SysWOW64\SccmIpcheck.exe [27648 2011-01-07] 
S3 smstsmgr; C:\Windows\SysWOW64\CCM\TSManager.exe [246632 2011-07-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

S3 Firehk; C:\Windows\System32\DRIVERS\firehk.sys [56648 2008-10-17] (McAfee, Inc.)
S3 FirehkMP; C:\Windows\System32\DRIVERS\firehk.sys [56648 2008-10-17] (McAfee, Inc.)
S3 firelm01; C:\Windows\system32\drivers\firelm01.sys [38968 2010-06-15] (McAfee, Inc.)
S0 FirePM; C:\Windows\System32\Drivers\FirePM.sys [186784 2010-06-15] (McAfee, Inc.)
S1 FireTDI; C:\Windows\system32\Drivers\FireTDI.sys [254520 2010-06-15] (McAfee, Inc.)
S1 FireTDI; C:\Windows\system32\Drivers\FireTDI.sys [254520 2010-06-15] (McAfee, Inc.)
S3 FscBapi; C:\Windows\System32\DRIVERS\FscBapi.sys [26952 2012-11-13] (Fujitsu Technology Solutions)
S3 FscEfDmi; C:\Windows\System32\DRIVERS\FscEfDmi.sys [25416 2012-11-13] (Fujitsu Technology Solutions)
S3 FscGabi; C:\Windows\System32\DRIVERS\FscGabi.sys [29512 2012-11-13] (Fujitsu Technology Solutions)
S3 FUJ02B1; C:\Windows\System32\DRIVERS\FUJ02B1.sys [7808 2009-06-21] (FUJITSU LIMITED)
S3 FUJ02E3; C:\Windows\System32\DRIVERS\FUJ02E3.sys [7296 2009-06-21] (FUJITSU LIMITED)
S3 HIPK; C:\Windows\System32\drivers\HIPK.sys [138904 2010-08-03] (McAfee, Inc.)
S3 HIPPSK; C:\Windows\System32\drivers\HIPPSK.sys [45424 2010-08-03] (McAfee, Inc.)
S3 HIPQK; C:\Windows\System32\drivers\HIPQK.sys [40152 2010-08-03] (McAfee, Inc.)
S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [158712 2012-12-13] (McAfee, Inc.)
S3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [228752 2012-12-13] (McAfee, Inc.)
S0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [647208 2012-01-04] (McAfee, Inc.)
S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [100904 2012-12-13] (McAfee, Inc.)
S1 mfetdik; C:\Windows\System32\drivers\mfetdik.sys [84424 2010-08-03] (McAfee, Inc.)
S0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [289152 2012-01-04] (McAfee, Inc.)
S3 NETwNs64; C:\Windows\System32\DRIVERS\Netwsw00.sys [11471872 2012-03-12] (Intel Corporation)
S3 prepdrvr; C:\Windows\SysWOW64\CCM\prepdrv.sys [26992 2009-09-18] (Microsoft Corporation)
S3 prepdrvr; C:\Windows\SysWOW64\CCM\prepdrv.sys [26992 2009-09-18] (Microsoft Corporation)
S3 Sftfs; C:\Windows\System32\DRIVERS\Sftfswin7.sys [761704 2010-12-27] (Microsoft Corporation)
S3 Sftplay; C:\Windows\System32\DRIVERS\Sftplaywin7.sys [268648 2010-12-27] (Microsoft Corporation)
S3 Sftredir; C:\Windows\System32\DRIVERS\Sftredirwin7.sys [25960 2010-12-27] (Microsoft Corporation)
S3 Sftvol; C:\Windows\System32\DRIVERS\Sftvolwin7.sys [22376 2010-12-27] (Microsoft Corporation)
S3 NT_NvcA; system32\DRIVERS\ntnvca.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-16 01:49 - 2013-08-16 01:49 - 00163122 _____ C:\Users\TH8706\AppData\Local\2433f433
2013-08-16 01:49 - 2013-08-16 01:49 - 00163083 _____ C:\ProgramData\2433f433
2013-08-16 01:49 - 2013-08-16 01:49 - 00163063 _____ C:\Users\TH8706\AppData\Roaming\2433f433
2013-08-12 07:08 - 2013-08-12 07:08 - 00000000 ____D C:\Users\TH8706\AppData\Local\Microsoft Help
2013-08-05 06:58 - 2013-08-05 07:09 - 00852769 _____ C:\Users\TH8706\Desktop\Kopie von Lieferantentag_Anmeldungen und Fragen.xlsx
2013-08-05 05:03 - 2013-08-05 05:03 - 00002609 _____ C:\Windows\BiosPassword.log
2013-08-01 03:08 - 2013-08-01 03:08 - 00000000 _____ C:\Windows\oldSMSInstallAccount2013_OK.$w$
2013-07-30 06:37 - 2013-07-30 06:37 - 00014758 _____ C:\Users\TH8706\Desktop\Mappe1.xlsx_

==================== One Month Modified Files and Folders =======

2013-08-16 03:05 - 2012-12-14 00:22 - 00000000 ____D C:\Users\TH8706\AppData\Roaming\SoftGrid Client
2013-08-16 03:04 - 2009-07-13 21:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-16 03:04 - 2009-07-13 20:51 - 00058435 _____ C:\Windows\setupact.log
2013-08-16 03:03 - 2010-11-20 19:47 - 00030742 _____ C:\Windows\PFRO.log
2013-08-16 02:50 - 2012-07-16 06:49 - 00000475 _____ C:\Windows\SMSCFG.ini
2013-08-16 01:49 - 2013-08-16 01:49 - 00163122 _____ C:\Users\TH8706\AppData\Local\2433f433
2013-08-16 01:49 - 2013-08-16 01:49 - 00163083 _____ C:\ProgramData\2433f433
2013-08-16 01:49 - 2013-08-16 01:49 - 00163063 _____ C:\Users\TH8706\AppData\Roaming\2433f433
2013-08-16 01:06 - 2013-03-28 04:50 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-16 00:45 - 2011-08-03 00:32 - 00000000 ____D C:\Users\TH8706\Documents\Outlook
2013-08-15 22:52 - 2012-07-16 07:36 - 00737658 _____ C:\Windows\System32\perfh00C.dat
2013-08-15 22:52 - 2012-07-16 07:36 - 00737502 _____ C:\Windows\System32\perfh00A.dat
2013-08-15 22:52 - 2012-07-16 07:36 - 00699272 _____ C:\Windows\System32\perfh007.dat
2013-08-15 22:52 - 2012-07-16 07:36 - 00158208 _____ C:\Windows\System32\perfc00A.dat
2013-08-15 22:52 - 2012-07-16 07:36 - 00149176 _____ C:\Windows\System32\perfc00C.dat
2013-08-15 22:52 - 2012-07-16 07:36 - 00149132 _____ C:\Windows\System32\perfc007.dat
2013-08-15 22:52 - 2009-07-13 21:13 - 03401458 _____ C:\Windows\System32\PerfStringBackup.INI
2013-08-15 22:51 - 2009-07-13 20:45 - 00019104 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-15 22:51 - 2009-07-13 20:45 - 00019104 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-15 22:45 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\security
2013-08-15 07:50 - 2012-12-13 06:34 - 01916928 _____ C:\Windows\WindowsUpdate.log
2013-08-15 07:47 - 2011-08-03 00:50 - 00000000 ____D C:\Users\TH8706\Documents\Privat
2013-08-15 07:32 - 2012-12-13 06:40 - 00002464 _____ C:\Windows\System32\config\netlogon.ftl
2013-08-12 22:53 - 2012-12-14 00:22 - 00004302 __RSH C:\Users\TH8706\ntuser.pol
2013-08-12 22:53 - 2012-12-13 07:20 - 00000000 ____D C:\users\TH8706
2013-08-12 07:08 - 2013-08-12 07:08 - 00000000 ____D C:\Users\TH8706\AppData\Local\Microsoft Help
2013-08-07 14:00 - 2012-12-13 06:52 - 00140992 _____ (McAfee, Inc.) C:\Windows\SysWOW64\KevlarSigs.dll
2013-08-05 05:03 - 2013-08-05 05:03 - 00002609 _____ C:\Windows\BiosPassword.log
2013-08-05 05:03 - 2012-12-13 23:36 - 00000000 ____D C:\ProgramData\InstallMate
2013-08-01 05:46 - 2011-08-03 00:57 - 00000000 ____D C:\Users\TH8706\Documents\TempLabour
2013-08-01 03:08 - 2013-08-01 03:08 - 00000000 _____ C:\Windows\oldSMSInstallAccount2013_OK.$w$
2013-07-30 00:14 - 2013-06-13 00:00 - 00000000 _____ C:\Windows\DCMRemediation_BrowsingNetwork_KO.$w$
2013-07-30 00:14 - 2013-06-10 23:35 - 00009999 _____ C:\Windows\BrowsingNetwork.log
2013-07-29 02:37 - 2012-12-13 06:41 - 00118940 __RSH C:\ProgramData\ntuser.pol
2013-07-25 05:26 - 2013-07-25 05:26 - 00001554 _____ C:\Users\TH8706\Desktop\GOContactSync.exe - Verknüpfung.lnk
2013-07-25 05:14 - 2013-07-25 05:14 - 00000000 ____D C:\Windows\System32\appmgmt
2013-07-25 05:14 - 2013-07-25 05:14 - 00000000 ____D C:\Program Files (x86)\GO Contact Sync
2013-07-25 04:02 - 2009-07-13 20:45 - 00346712 _____ C:\Windows\System32\FNTCACHE.DAT
2013-07-25 03:59 - 2010-11-20 22:30 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-25 03:59 - 2009-07-13 21:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-25 03:59 - 2009-07-13 21:32 - 00000000 ____D C:\Program Files (x86)\Windows Defender
2013-07-25 03:56 - 2013-07-25 03:56 - 00000000 _____ C:\Windows\W76P024.$w$
2013-07-25 03:56 - 2012-12-13 06:54 - 00050349 _____ C:\Windows\upgrade.log
2013-07-25 03:55 - 2012-12-13 06:39 - 00000000 ____D C:\Windows\SysWOW64\Macromed
2013-07-25 03:55 - 2012-07-16 07:08 - 00000000 ____D C:\Windows\SysWOW64\Adobe
2013-07-25 03:55 - 2012-07-16 06:42 - 00029406 _____ C:\Windows\App.log
2013-07-25 03:54 - 2013-03-28 04:50 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-07-25 03:54 - 2013-03-28 04:50 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-07-25 03:54 - 2012-12-13 06:39 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-07-25 03:53 - 2012-07-16 06:59 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-07-25 03:52 - 2013-07-25 03:52 - 00000000 ____D C:\Users\Default\AppData\Local\Microsoft Help
2013-07-25 03:52 - 2013-07-25 03:52 - 00000000 ____D C:\Users\Default User\AppData\Local\Microsoft Help
2013-07-25 03:43 - 2013-07-25 03:43 - 00000714 _____ C:\Windows\instmsgy.txt
2013-07-18 03:39 - 2012-12-14 02:08 - 00000000 ____D C:\Users\TH8706\AppData\Local\SAP
2013-07-18 02:04 - 2013-07-18 01:58 - 03142656 _____ C:\Users\TH8706\Desktop\Übersicht Bürgerschaften_2012 Kommentare MH.xls
2013-07-18 00:29 - 2013-01-16 04:28 - 00012397 _____ C:\Windows\LocalAdminGroup.log

Files to move or delete:
====================
C:\Temp\nxtncuwiyxuopqkxo.exe

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe
[2013-04-25 03:03] - [2012-10-18 10:02] - 0027136 ____A (Microsoft Corporation) DFDE777FAF31DC25E3624E8071073146

C:\Windows\SysWOW64\svchost.exe
[2013-04-25 03:03] - [2012-10-18 09:40] - 0021504 ____A (Microsoft Corporation) FFB38D8AFD6F4FCA1D46D64F1EDE0B9F

C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2013-04-25 03:04] - [2012-10-18 14:00] - 0296808 ____A (Microsoft Corporation) DF83AA1C4278E2C0E36C0479C1555A9C


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 16%
Total physical RAM: 4007.17 MB
Available physical RAM: 3336.93 MB
Total Pagefile: 4005.32 MB
Available Pagefile: 3351.14 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (OSDisk) (Fixed) (Total:118.84 GB) (Free:35.41 GB) NTFS (Disk=0 Partition=1)
Drive e: (KRD10) (CDROM) (Total:0.28 GB) (Free:0 GB) CDFS
Drive f: () (Removable) (Total:0.93 GB) (Free:0.93 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (BDEDrive) (Fixed) (Total:0.39 GB) (Free:0 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 119 GB) (Disk ID: 5F7534EC)
Partition 1: (Not Active) - (Size=119 GB) - (Type=07 NTFS)
Partition 2: (Active) - (Size=400 MB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 961 MB) (Disk ID: 6E652072)
No partition Table on disk 1.


LastRegBack: 2013-08-12 01:05

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---

--- --- ---

Alt 16.08.2013, 13:08   #2
aharonov
/// TB-Ausbilder
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



Hallo,

da es sich hier offensichtlich um einen Firmenrechner handelt, muss ich zuerst folgende Hinweise posten:

Hinweise zu gewerblich genutzten Rechnern
  • Für gewerblich genutzte Rechner sind in erster Linie nicht wir sondern der firmeneigene IT-Support zuständig. Bei kleinen Unternehmen ohne einen eigenen IT-Support machen wir aber gerne eine Ausnahme und schauen uns den Rechner an.
  • Es gilt aber zu bedenken, dass eine Malware-Bereinigung prinzipiell keine absolute Sicherheit bieten kann und immer ein kleines Restrisiko bestehen bleibt. Speziell wenn sich sensible Firmen- oder Kundendaten auf dem Rechner befinden, sollte man bei Anzeichen von schwerwiegendem Malwarebefall ein Formatieren der Festplatte und Neuinstallieren des Systems ins Auge fassen.
  • Weiter weisen wir darauf hin, dass wir keinerlei Haftung übernehmen für den Fall, dass etwas schief läuft. Auch bist du selbst dafür verantwortlich, dass in den geposteten Logfiles keine internen Informationen auftauchen, welche nicht öffentlich einsehbar sein dürfen. Solche Einträge aber bitte nicht einfach ganz löschen, sondern klar erkennbar zensieren.
  • Die Hilfestellung erfolgt auch in diesem Fall kostenlos. Es besteht aber die Möglichkeit, das Forum mit einer kleinen Spende zu unterstützen.


Gib mir bitte Bescheid, wenn du diese Punkte zur Kenntnis genommen hast und falls ich dennoch hier loslegen soll.
__________________

__________________

Alt 16.08.2013, 13:13   #3
morpheus2276
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



na bitte.

ich habe mir anhand anderer Beispiele mal eine fixlist.txt gebaut, soweit ok?

Code:
ATTFilter
HKU\TH8706\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Temp\nxtncuwiyxuopqkxo.exe [62464 2013-08-

16] (Valve Corporation) <===== ATTENTION
HKU\TH8706\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\TH8706\...\Command Processor: "C:\Temp\nxtncuwiyxuopqkxo.exe" <===== ATTENTION!
C:\Users\TH8706\AppData\Local\2433f433
C:\ProgramData\2433f433
C:\Users\TH8706\AppData\Roaming\2433f433
C:\Users\TH8706\AppData\Roaming\SoftGrid Client
C:\Temp\nxtncuwiyxuopqkxo.exe
         
__________________

Alt 16.08.2013, 13:15   #4
aharonov
/// TB-Ausbilder
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



Das wäre meine fixlist.txt gewesen:

Code:
ATTFilter
C:\Temp\nxtncuwiyxuopqkxo.exe
C:\Temp\nxtncuwiyxuopqkxo.dll
HKU\TH8706\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Temp\nxtncuwiyxuopqkxo.exe [62464 2013-08-16] (Valve Corporation) <===== ATTENTION
HKU\TH8706\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\TH8706\...\Command Processor: "C:\Temp\nxtncuwiyxuopqkxo.exe" <===== ATTENTION!
2013-08-16 01:49 - 2013-08-16 01:49 - 00163122 _____ C:\Users\TH8706\AppData\Local\2433f433
2013-08-16 01:49 - 2013-08-16 01:49 - 00163083 _____ C:\ProgramData\2433f433
2013-08-16 01:49 - 2013-08-16 01:49 - 00163063 _____ C:\Users\TH8706\AppData\Roaming\2433f433
         
__________________
cheers,
Leo

Alt 16.08.2013, 13:18   #5
morpheus2276
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



Fixlog:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-08-2013
Ran by SYSTEM at 2013-08-16 14:17:07 Run:1
Running from F:\
Boot Mode: Recovery
==============================================

C:\Temp\nxtncuwiyxuopqkxo.exe => Moved successfully.
"C:\Temp\nxtncuwiyxuopqkxo.dll" => File/Directory not found.
HKU\TH8706\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
HKU\TH8706\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\TH8706\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\Users\TH8706\AppData\Local\2433f433 => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.
C:\Users\TH8706\AppData\Roaming\2433f433 => Moved successfully.

==== End of Fixlog ====
         
jetzt neu starten?


Alt 16.08.2013, 13:19   #6
aharonov
/// TB-Ausbilder
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



jep, neu starten.
__________________
--> GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen

Alt 16.08.2013, 13:21   #7
morpheus2276
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



ok prima, habe meinen Desktop wieder!

eigentlich läuft bei mir McAfee Intrusion Prevention, hat wohl nicht viel gebracht.....

Was kann ich tun um sicherzustellen, dass keine anderen Löcher existieren?

Alt 16.08.2013, 13:24   #8
aharonov
/// TB-Ausbilder
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



Zitat:
Was kann ich tun um sicherzustellen, dass keine anderen Löcher existieren?
Die Löcher suchen und stopfen. Denn solche existieren garantiert noch, sonst hätte sich dieses Ding ja nicht einnisten können:


Verschiebe die frst64.exe vom USB-Stick auf den Desktop.
  • Starte dann FRST.
  • Setze bei Optional Scan den Haken bei Addition.txt und drücke Scan.
  • Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.
__________________
cheers,
Leo

Alt 16.08.2013, 13:31   #9
morpheus2276
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



ok, frst.txt


FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 16-08-2013
Ran by TH8706 (administrator) on 16-08-2013 14:26:28
Running from C:\Users\TH8706\Desktop
Windows 7 Enterprise Service Pack 1 (X64) OS Language: English(US)
Internet Explorer Version 8
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Cisco Systems, Inc.) C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
(LSI Corporation) C:\Program Files\LSI SoftModem\agr64svc.exe
(Cisco Systems, Inc.) C:\Program Files (x86)\Cisco\Cisco HostScan\bin\ciscod.exe
(Juniper Networks) C:\Program Files (x86)\Juniper Networks\Common Files\dsNcService.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Host Intrusion Prevention\FireSvc.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Host Intrusion Prevention\HIPSCore\x64\HIPSvc.exe
(Juniper Networks, Inc.) C:\Program Files (x86)\Common Files\Juniper Networks\JUNS\dsAccessService.exe
(Microsoft Corp.) C:\Program Files\Microsoft\MDOP MBAM\MBAMAgent.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\VirusScan Enterprise\vstskmgr.exe
(McAfee, Inc.) C:\Windows\system32\mfevtps.exe
C:\Windows\system32\RCAgentMgr.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Common Framework\naPrdMgr.exe
(McAfee, Inc.) C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe
(Microsoft Corporation) C:\Windows\SysWOW64\CCM\CcmExec.exe
C:\Windows\SysWOW64\SccmIpcheck.exe
(Microsoft Corporation) C:\Windows\system32\msiexec.exe
(Microsoft Corporation) C:\Windows\sysWOW64\wbem\wmiprvse.exe
(Microsoft Corporation) C:\Windows\sysWOW64\wbem\wmiprvse.exe
(Citrix Systems, Inc.) C:\Program Files (x86)\Citrix\ICA Client\ssonsvr.exe
(Microsoft Corporation) C:\Windows\sysWOW64\wbem\wmiprvse.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Application Virtualization Client\sftdcc.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Google) C:\Program Files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe
(Microsoft Corporation) C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Host Intrusion Prevention\FireTray.exe
(Adobe Systems Inc.) C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\acrotray.exe
(Citrix Systems, Inc.) C:\Program Files (x86)\Citrix\ICA Client\concentr.exe
(Cisco Systems, Inc.) C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Common Framework\UdaterUI.exe
(McAfee, Inc.) C:\Program Files (x86)\McAfee\Common Framework\McTray.exe
(Citrix Systems, Inc.) C:\Program Files (x86)\Citrix\ICA Client\WFCRUN32.EXE

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1861416 2009-10-09] (Synaptics Incorporated)
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10134560 2010-09-29] (Realtek Semiconductor)
HKLM\...\Run: [SAPinit] - C:\Program Files (x86)\SAP\RPW.reg [1206 2006-04-05] ()
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,"C:\Program Files (x86)\Microsoft Application Virtualization Client\sftdcc.exe"
HKCU\...\Policies\system: [NoDispScrSavPage] 1
HKLM-x32\...\Run: [SoftGridTray] - C:\Program Files (x86)\Microsoft Application Virtualization Client\SFTTray.exe [853352 2010-12-27] (Microsoft Corporation)
HKLM-x32\...\Run: [SVGViewer] - wscript.exe "C:\Program Files (x86)\Common Files\Adobe\SVG Viewer 3.0\CustomUser.vbs" [x]
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe [35768 2012-07-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [919008 2012-07-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [ShStatEXE] - C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE [215360 2011-09-14] (McAfee, Inc.)
HKLM-x32\...\Run: [McAfee Host Intrusion Prevention Tray] - C:\Program Files (x86)\McAfee\Host Intrusion Prevention\FireTray.exe [979104 2010-06-15] (McAfee, Inc.)
HKLM-x32\...\Run: [Adobe Acrobat Speed Launcher] - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe [36760 2012-01-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Acrobat Assistant 8.0] - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe [815512 2012-01-03] (Adobe Systems Inc.)
HKLM-x32\...\Run: [ConnectionCenter] - C:\Program Files (x86)\Citrix\ICA Client\concentr.exe [304568 2010-10-12] (Citrix Systems, Inc.)
HKLM-x32\...\Run: [JRE150_16_init] - C:\Program Files (x86)\Java\jre1.5.0_16\JREInit.bat [492 2011-11-09] ()
HKLM-x32\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe [701872 2013-01-24] (Cisco Systems, Inc.)
HKLM-x32\...\Run: [McAfeeUpdaterUI] - C:\Program Files (x86)\McAfee\Common Framework\udaterui.exe [333416 2012-11-27] (McAfee, Inc.)
HKU\Administrator\...\Policies\system: [NoDispScrSavPage] 1
HKU\Default\...\Policies\system: [NoDispScrSavPage] 1
HKU\Default User\...\Policies\system: [NoDispScrSavPage] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Google Calendar Sync.lnk
ShortcutTarget: Google Calendar Sync.lnk -> C:\Program Files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe (Google)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
ShortcutTarget: Start.lnk -> C:\Windows\start.bat ()
Startup: C:\Users\TH8706\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

ProxyServer: 53.141.195.40:8080
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: WebEx Productivity Tools - {90E2BA2E-DD1B-4cde-9134-7A8B86D33CA7} - C:\Program Files (x86)\WebEx\Productivity Tools\ptonecli64.dll (Cisco WebEx LLC)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -  No File
BHO-x32: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.6.0_24\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO-x32: SmartSelect Class - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
Toolbar: HKLM - WebEx Productivity Tools - {90E2BA2E-DD1B-4cde-9134-7A8B86D33CA7} - C:\Program Files (x86)\WebEx\Productivity Tools\ptonecli64.dll (Cisco WebEx LLC)
Toolbar: HKLM-x32 - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} 
DPF: HKLM-x32 {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} https://juniper.net/dana-cached/setup/JuniperSetupSP1.cab
DPF: HKLM-x32 {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
Handler: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} -  No File
Handler: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} -  No File
Handler-x32: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\program files (x86)\sap\frontend\sapgui\saphtmlp.dll (SAP, Walldorf)
Handler-x32: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\program files (x86)\sap\frontend\sapgui\saphtmlp.dll (SAP, Walldorf)
Filter: application/x-ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica; charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica; charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica; charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica; charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica; charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica; charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica; charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica;charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica;charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica;charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica;charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica;charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica;charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: application/x-ica;charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter: ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} -  No File
Filter-x32: application/x-ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica; charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica; charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica; charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica; charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica; charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica; charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica; charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica;charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica;charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica;charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica;charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica;charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica;charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: application/x-ica;charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
Filter-x32: ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files (x86)\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)

==================== Services (Whitelisted) =================

R2 ciscod.exe; C:\Program Files (x86)\Cisco\Cisco HostScan\bin\ciscod.exe [66480 2013-01-24] (Cisco Systems, Inc.)
R2 enterceptAgent; C:\Program Files (x86)\McAfee\Host Intrusion Prevention\FireSvc.exe [1498224 2010-06-15] (McAfee, Inc.)
R2 hips; C:\Program Files (x86)\McAfee\Host Intrusion Prevention\HIPSCore\x64\HIPSvc.exe [39840 2010-08-03] (McAfee, Inc.)
R2 MBAMAgent; C:\Program Files\Microsoft\MDOP MBAM\MBAMAgent.exe [239528 2011-06-14] (Microsoft Corp.)
R2 McAfeeFramework; C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe [132712 2012-11-27] (McAfee, Inc.)
R2 McShield; C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe [199008 2012-12-13] (McAfee, Inc.)
R2 McTaskManager; C:\Program Files (x86)\McAfee\VirusScan Enterprise\vstskmgr.exe [209760 2011-09-14] (McAfee, Inc.)
R2 mfevtp; C:\Windows\system32\mfevtps.exe [162192 2012-01-04] (McAfee, Inc.)
R2 RCAgentMgr; C:\Windows\system32\RCAgentMgr.exe [8704 2011-12-13] 
R2 SccmIpcheck; C:\Windows\SysWOW64\SccmIpcheck.exe [27648 2011-01-07] 
S3 smstsmgr; C:\Windows\SysWOW64\CCM\TSManager.exe [246632 2011-07-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

S3 Firehk; C:\Windows\System32\DRIVERS\firehk.sys [56648 2008-10-17] (McAfee, Inc.)
R3 FirehkMP; C:\Windows\System32\DRIVERS\firehk.sys [56648 2008-10-17] (McAfee, Inc.)
R3 firelm01; C:\Windows\system32\drivers\firelm01.sys [38968 2010-06-15] (McAfee, Inc.)
R0 FirePM; C:\Windows\System32\Drivers\FirePM.sys [186784 2010-06-15] (McAfee, Inc.)
R1 FireTDI; C:\Windows\system32\Drivers\FireTDI.sys [254520 2010-06-15] (McAfee, Inc.)
R1 FireTDI; C:\Windows\system32\Drivers\FireTDI.sys [254520 2010-06-15] (McAfee, Inc.)
S3 FscBapi; C:\Windows\System32\DRIVERS\FscBapi.sys [26952 2012-11-13] (Fujitsu Technology Solutions)
R3 FscEfDmi; C:\Windows\System32\DRIVERS\FscEfDmi.sys [25416 2012-11-13] (Fujitsu Technology Solutions)
R3 FscGabi; C:\Windows\System32\DRIVERS\FscGabi.sys [29512 2012-11-13] (Fujitsu Technology Solutions)
R3 FUJ02B1; C:\Windows\System32\DRIVERS\FUJ02B1.sys [7808 2009-06-22] (FUJITSU LIMITED)
R3 FUJ02E3; C:\Windows\System32\DRIVERS\FUJ02E3.sys [7296 2009-06-22] (FUJITSU LIMITED)
R3 HIPK; C:\Windows\System32\drivers\HIPK.sys [138904 2010-08-03] (McAfee, Inc.)
R3 HIPPSK; C:\Windows\System32\drivers\HIPPSK.sys [45424 2010-08-03] (McAfee, Inc.)
R3 HIPQK; C:\Windows\System32\drivers\HIPQK.sys [40152 2010-08-03] (McAfee, Inc.)
R3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [158712 2012-12-13] (McAfee, Inc.)
R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [228752 2012-12-13] (McAfee, Inc.)
R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [647208 2012-01-04] (McAfee, Inc.)
S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [100904 2012-12-13] (McAfee, Inc.)
R1 mfetdik; C:\Windows\System32\drivers\mfetdik.sys [84424 2010-08-03] (McAfee, Inc.)
R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [289152 2012-01-04] (McAfee, Inc.)
R3 NETwNs64; C:\Windows\System32\DRIVERS\Netwsw00.sys [11471872 2012-03-12] (Intel Corporation)
R3 prepdrvr; C:\Windows\SysWOW64\CCM\prepdrv.sys [26992 2009-09-18] (Microsoft Corporation)
R3 prepdrvr; C:\Windows\SysWOW64\CCM\prepdrv.sys [26992 2009-09-18] (Microsoft Corporation)
R3 Sftfs; C:\Windows\System32\DRIVERS\Sftfswin7.sys [761704 2010-12-28] (Microsoft Corporation)
R3 Sftplay; C:\Windows\System32\DRIVERS\Sftplaywin7.sys [268648 2010-12-28] (Microsoft Corporation)
R3 Sftredir; C:\Windows\System32\DRIVERS\Sftredirwin7.sys [25960 2010-12-28] (Microsoft Corporation)
R3 Sftvol; C:\Windows\System32\DRIVERS\Sftvolwin7.sys [22376 2010-12-28] (Microsoft Corporation)
U3 mfeavfk01; No ImagePath
S3 NT_NvcA; system32\DRIVERS\ntnvca.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-16 14:26 - 2013-08-16 14:26 - 00017609 _____ C:\Temp\frstlog
2013-08-16 14:26 - 2013-08-16 14:26 - 00012272 _____ C:\Temp\log3
2013-08-16 14:26 - 2013-08-16 14:26 - 00006662 _____ C:\Temp\log1
2013-08-16 14:26 - 2013-08-16 14:26 - 00000240 _____ C:\Temp\users00
2013-08-16 14:26 - 2013-08-16 14:26 - 00000003 _____ C:\Temp\others
2013-08-16 14:26 - 2013-08-16 13:33 - 01576058 _____ (Farbar) C:\Users\TH8706\Desktop\FRST64.exe
2013-08-16 14:24 - 2013-08-16 14:24 - 00206766 _____ C:\Users\TH8706\Desktop\Quarantine.zip
2013-08-16 14:20 - 2013-08-16 14:20 - 00133028 _____ C:\Windows\SysWOW64\api_hook_list.dat
2013-08-16 14:20 - 2013-08-16 14:20 - 00065536 _____ C:\Temp\~DF0FB219C7266E4937.TMP
2013-08-16 14:20 - 2013-08-16 14:20 - 00002033 _____ C:\Windows\system32\api_hook_list.dat
2013-08-16 14:20 - 2013-08-16 14:20 - 00001214 _____ C:\Temp\AdobeARM.log
2013-08-16 14:20 - 2013-08-16 14:20 - 00000162 _____ C:\Temp\mavcperf-setup.log
2013-08-16 14:20 - 2013-08-16 14:20 - 00000005 _____ C:\Temp\addressip.txt
2013-08-16 14:20 - 2013-08-16 14:20 - 00000000 ____D C:\Temp\WPDNSE
2013-08-16 14:20 - 2010-08-03 15:39 - 00040328 _____ (McAfee, Inc.) C:\Windows\SysWOW64\HIPIS0e011b7.dll
2013-08-16 14:20 - 2010-08-03 15:27 - 00047080 _____ (McAfee, Inc.) C:\Windows\system32\HIPIS0e011b7.dll
2013-08-13 10:23 - 2013-08-13 10:23 - 00000000 ____D C:\Temp\CAS
2013-08-05 16:58 - 2013-08-05 17:09 - 00852769 _____ C:\Users\TH8706\Desktop\Kopie von Lieferantentag_Anmeldungen und Fragen.xlsx
2013-08-05 15:03 - 2013-08-05 15:03 - 00002609 _____ C:\Windows\BiosPassword.log
2013-08-01 13:08 - 2013-08-01 13:08 - 00000000 _____ C:\Windows\oldSMSInstallAccount2013_OK.$w$
2013-07-30 16:37 - 2013-07-30 16:37 - 00014758 _____ C:\Users\TH8706\Desktop\Mappe1.xlsx
2013-07-25 15:26 - 2013-07-25 15:26 - 00001554 _____ C:\Users\TH8706\Desktop\GOContactSync.exe - Verknüpfung.lnk
2013-07-25 15:14 - 2013-07-25 15:14 - 00000000 ____D C:\Windows\system32\appmgmt
2013-07-25 15:14 - 2013-07-25 15:14 - 00000000 ____D C:\Users\TH8706\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GO Contact Sync Mod
2013-07-25 15:14 - 2013-07-25 15:14 - 00000000 ____D C:\Program Files (x86)\GO Contact Sync
2013-07-25 13:56 - 2013-07-25 13:56 - 00000000 _____ C:\Windows\W76P024.$w$
2013-07-25 13:52 - 2013-07-25 13:52 - 00000000 ____D C:\Users\Default\AppData\Local\Microsoft Help
2013-07-25 13:52 - 2013-07-25 13:52 - 00000000 ____D C:\Users\Default User\AppData\Local\Microsoft Help
2013-07-25 13:52 - 2013-05-06 08:03 - 01887744 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-25 13:52 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\WMVDECOD.DLL
2013-07-25 13:51 - 2013-06-04 08:00 - 00624128 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-25 13:51 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\SysWOW64\qedit.dll
2013-07-25 13:51 - 2013-06-04 05:18 - 03156992 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-25 13:51 - 2013-04-10 07:45 - 01545728 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2013-07-25 13:51 - 2013-04-10 07:02 - 01077760 _____ (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2013-07-25 13:48 - 2013-07-25 13:48 - 00000000 ____D C:\Temp\KB2840628_10.0.30319
2013-07-25 13:45 - 2013-07-25 13:45 - 00000000 ____D C:\Temp\KB2835393_10.0.30319
2013-07-25 13:44 - 2013-05-27 07:54 - 01188864 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-25 13:44 - 2013-05-27 07:53 - 01492992 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-25 13:44 - 2013-05-27 07:53 - 00134144 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-07-25 13:44 - 2013-05-27 07:50 - 12295680 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-25 13:44 - 2013-05-27 07:50 - 09070080 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-25 13:44 - 2013-05-27 07:50 - 02458112 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-25 13:44 - 2013-05-27 07:50 - 00735232 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-25 13:44 - 2013-05-27 07:50 - 00247808 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-25 13:44 - 2013-05-27 07:50 - 00097792 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-07-25 13:44 - 2013-05-27 07:50 - 00064512 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-25 13:44 - 2013-05-27 07:02 - 00981504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-07-25 13:44 - 2013-05-27 07:01 - 01231872 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-07-25 13:44 - 2013-05-27 07:01 - 00132096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-07-25 13:44 - 2013-05-27 06:57 - 06035456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-07-25 13:44 - 2013-05-27 06:57 - 00627712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-07-25 13:44 - 2013-05-27 06:57 - 00067584 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-07-25 13:44 - 2013-05-27 06:56 - 11020800 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-07-25 13:44 - 2013-05-27 06:56 - 02078208 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-07-25 13:44 - 2013-05-27 06:56 - 00176640 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-07-25 13:44 - 2013-05-27 06:56 - 00048128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-07-25 13:44 - 2013-05-27 05:58 - 01638912 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-25 13:44 - 2013-05-27 05:20 - 01638912 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-07-25 13:43 - 2013-07-25 13:43 - 00000714 _____ C:\Windows\instmsgy.txt

==================== One Month Modified Files and Folders =======

2013-08-16 14:27 - 2013-08-16 14:26 - 00012272 _____ C:\Temp\log3
2013-08-16 14:27 - 2013-08-16 14:26 - 00006729 _____ C:\Temp\log1
2013-08-16 14:26 - 2013-08-16 23:49 - 00000000 ____D C:\FRST
2013-08-16 14:26 - 2013-08-16 14:26 - 00017609 _____ C:\Temp\frstlog
2013-08-16 14:26 - 2013-08-16 14:26 - 00000240 _____ C:\Temp\users00
2013-08-16 14:26 - 2013-08-16 14:26 - 00000003 _____ C:\Temp\others
2013-08-16 14:24 - 2013-08-16 14:24 - 00206766 _____ C:\Users\TH8706\Desktop\Quarantine.zip
2013-08-16 14:21 - 2012-12-14 09:06 - 00000000 ____D C:\Temp\Acrobat Distiller 10
2013-08-16 14:20 - 2013-08-16 14:20 - 00133028 _____ C:\Windows\SysWOW64\api_hook_list.dat
2013-08-16 14:20 - 2013-08-16 14:20 - 00065536 _____ C:\Temp\~DF0FB219C7266E4937.TMP
2013-08-16 14:20 - 2013-08-16 14:20 - 00002033 _____ C:\Windows\system32\api_hook_list.dat
2013-08-16 14:20 - 2013-08-16 14:20 - 00001214 _____ C:\Temp\AdobeARM.log
2013-08-16 14:20 - 2013-08-16 14:20 - 00000162 _____ C:\Temp\mavcperf-setup.log
2013-08-16 14:20 - 2013-08-16 14:20 - 00000005 _____ C:\Temp\addressip.txt
2013-08-16 14:20 - 2013-08-16 14:20 - 00000000 ____D C:\Temp\WPDNSE
2013-08-16 14:20 - 2012-07-16 16:49 - 00000475 _____ C:\Windows\SMSCFG.ini
2013-08-16 14:20 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-16 14:20 - 2009-07-14 06:51 - 00058491 _____ C:\Windows\setupact.log
2013-08-16 13:33 - 2013-08-16 14:26 - 01576058 _____ (Farbar) C:\Users\TH8706\Desktop\FRST64.exe
2013-08-16 13:05 - 2012-12-14 10:22 - 00000000 ____D C:\Users\TH8706\AppData\Roaming\SoftGrid Client
2013-08-16 13:03 - 2010-11-21 05:47 - 00030742 _____ C:\Windows\PFRO.log
2013-08-16 11:06 - 2013-03-28 14:50 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-16 10:45 - 2013-01-07 21:10 - 00000000 ____D C:\Temp\hsperfdata_TH8706
2013-08-16 10:45 - 2011-08-03 10:32 - 00000000 ____D C:\Users\TH8706\Documents\Outlook
2013-08-16 08:52 - 2012-07-16 17:36 - 00737658 _____ C:\Windows\system32\perfh00C.dat
2013-08-16 08:52 - 2012-07-16 17:36 - 00737502 _____ C:\Windows\system32\perfh00A.dat
2013-08-16 08:52 - 2012-07-16 17:36 - 00699272 _____ C:\Windows\system32\perfh007.dat
2013-08-16 08:52 - 2012-07-16 17:36 - 00158208 _____ C:\Windows\system32\perfc00A.dat
2013-08-16 08:52 - 2012-07-16 17:36 - 00149176 _____ C:\Windows\system32\perfc00C.dat
2013-08-16 08:52 - 2012-07-16 17:36 - 00149132 _____ C:\Windows\system32\perfc007.dat
2013-08-16 08:52 - 2009-07-14 07:13 - 03401458 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-16 08:51 - 2009-07-14 06:45 - 00019104 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-16 08:51 - 2009-07-14 06:45 - 00019104 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-16 08:45 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\security
2013-08-15 17:50 - 2012-12-13 16:34 - 01919854 _____ C:\Windows\WindowsUpdate.log
2013-08-15 17:47 - 2011-08-03 10:50 - 00000000 ____D C:\Users\TH8706\Documents\Privat
2013-08-15 17:32 - 2012-12-13 16:40 - 00002464 _____ C:\Windows\system32\config\netlogon.ftl
2013-08-13 16:14 - 2012-12-17 11:43 - 00000000 ____D C:\Temp\msohtmlclip1
2013-08-13 10:23 - 2013-08-13 10:23 - 00000000 ____D C:\Temp\CAS
2013-08-13 08:53 - 2012-12-14 10:22 - 00004302 __RSH C:\Users\TH8706\ntuser.pol
2013-08-13 08:53 - 2012-12-13 17:20 - 00000000 ____D C:\Users\TH8706
2013-08-08 00:00 - 2012-12-13 16:52 - 00140992 _____ (McAfee, Inc.) C:\Windows\SysWOW64\KevlarSigs.dll
2013-08-05 17:09 - 2013-08-05 16:58 - 00852769 _____ C:\Users\TH8706\Desktop\Kopie von Lieferantentag_Anmeldungen und Fragen.xlsx
2013-08-05 15:03 - 2013-08-05 15:03 - 00002609 _____ C:\Windows\BiosPassword.log
2013-08-05 15:03 - 2012-12-14 09:36 - 00000000 ____D C:\ProgramData\InstallMate
2013-07-30 10:14 - 2013-06-13 10:00 - 00000000 _____ C:\Windows\DCMRemediation_BrowsingNetwork_KO.$w$
2013-07-30 10:14 - 2013-06-11 09:35 - 00009999 _____ C:\Windows\BrowsingNetwork.log
2013-07-29 12:37 - 2012-12-13 16:41 - 00118940 __RSH C:\ProgramData\ntuser.pol
2013-07-25 15:26 - 2013-07-25 15:26 - 00001554 _____ C:\Users\TH8706\Desktop\GOContactSync.exe - Verknüpfung.lnk
2013-07-25 15:14 - 2013-07-25 15:14 - 00000000 ____D C:\Windows\system32\appmgmt
2013-07-25 15:14 - 2013-07-25 15:14 - 00000000 ____D C:\Users\TH8706\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GO Contact Sync Mod
2013-07-25 15:14 - 2013-07-25 15:14 - 00000000 ____D C:\Program Files (x86)\GO Contact Sync
2013-07-25 14:02 - 2009-07-14 06:45 - 00346712 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-25 13:59 - 2010-11-21 08:30 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-25 13:59 - 2009-07-14 07:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-25 13:59 - 2009-07-14 07:32 - 00000000 ____D C:\Program Files (x86)\Windows Defender
2013-07-25 13:56 - 2013-07-25 13:56 - 00000000 _____ C:\Windows\W76P024.$w$
2013-07-25 13:56 - 2012-12-13 16:54 - 00050349 _____ C:\Windows\upgrade.log
2013-07-25 13:55 - 2012-12-13 16:39 - 00000000 ____D C:\Windows\SysWOW64\Macromed
2013-07-25 13:55 - 2012-07-16 17:08 - 00000000 ____D C:\Windows\SysWOW64\Adobe
2013-07-25 13:55 - 2012-07-16 16:42 - 00029406 _____ C:\Windows\App.log
2013-07-25 13:54 - 2013-03-28 14:50 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-07-25 13:54 - 2013-03-28 14:50 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-07-25 13:54 - 2012-12-13 16:39 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-07-25 13:53 - 2012-07-16 16:59 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-07-25 13:52 - 2013-07-25 13:52 - 00000000 ____D C:\Users\Default\AppData\Local\Microsoft Help
2013-07-25 13:52 - 2013-07-25 13:52 - 00000000 ____D C:\Users\Default User\AppData\Local\Microsoft Help
2013-07-25 13:48 - 2013-07-25 13:48 - 00000000 ____D C:\Temp\KB2840628_10.0.30319
2013-07-25 13:45 - 2013-07-25 13:45 - 00000000 ____D C:\Temp\KB2835393_10.0.30319
2013-07-25 13:43 - 2013-07-25 13:43 - 00000714 _____ C:\Windows\instmsgy.txt
2013-07-18 13:39 - 2012-12-14 12:08 - 00000000 ____D C:\Users\TH8706\Documents\SAP
2013-07-18 12:04 - 2013-07-18 11:58 - 03142656 _____ C:\Users\TH8706\Desktop\Übersicht Bürgerschaften_2012 Kommentare MH.xls
2013-07-18 10:29 - 2013-01-16 14:28 - 00012397 _____ C:\Windows\LocalAdminGroup.log

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe
[2013-04-25 13:03] - [2012-10-18 20:02] - 0027136 ____A (Microsoft Corporation) DFDE777FAF31DC25E3624E8071073146

C:\Windows\SysWOW64\svchost.exe
[2013-04-25 13:03] - [2012-10-18 19:40] - 0021504 ____A (Microsoft Corporation) FFB38D8AFD6F4FCA1D46D64F1EDE0B9F

C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2013-04-25 13:04] - [2012-10-19 00:00] - 0296808 ____A (Microsoft Corporation) DF83AA1C4278E2C0E36C0479C1555A9C



LastRegBack: 2013-08-12 11:05

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---

--- --- ---


und additions.txt

Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 16-08-2013
Ran by TH8706 at 2013-08-16 14:27:05
Running from C:\Users\TH8706\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

   
Acrobat (10.1.2) ML (x32 Version: 10.1.2)
Adobe PDF iFilter 9 for 64-bit platforms (Version: 9.0.0)
Adobe Reader (10.1.4) ML (x32 Version: 10.1.4)
Alcor Micro Smart Card Reader Driver (x32 Version: 1.7.28.0)
AppV-Client (4.6.0.1523) ML (x32 Version: 4.6.0.1523)
AppV-Client (4.6.1.20870) ML (Version: 4.6.1.20870)
AppV-Client (4.6.1.20870) ML (x32 Version: 4.6.1.20870)
Ariba Client automation ActiveX for ePROC (1.0.0.21) EN (x32 Version: 1.0.0.21)
BS64_ALL 6.45.0149 (Version: 6.45.0149)
Cisco AnyConnect Diagnostics and Reporting Tool (x32 Version: 3.1.02040)
Cisco AnyConnect Posture Module (x32 Version: 3.1.02040)
Cisco AnyConnect Secure Mobility Client  (x32 Version: 3.1.02040)
Cisco AnyConnect Secure Mobility Client (x32 Version: 3.1.02040)
Cisco AnyConnect Start Before Login Module (x32 Version: 3.1.02040)
Citrix Online Plug-in (HDX) (x32 Version: 12.1.0.30)
Citrix Online Plug-in (SSON) (x32 Version: 12.1.0.30)
Citrix Online Plug-in (Web) (x32 Version: 12.1.0.30)
Citrix Online Plug-in (x32 Version: 12.1.0.30)
Configuration Manager Client (x32 Version: 4.00.6487.2000)
Cortona3D Viewer (6.0.180) EN (x32 Version: 6.0.180)
Definition update for Microsoft Office 2010 (KB982726) (x32)
DHTML Editing Component (x32 Version: 6.02.0001)
dows-Treiberpaket - Nokia Modem  (10/07/2010 4.6) (Version: 10/07/2010 4.6)
Engineering Client Viewer 7.0 (x32)
Flash Player (11.7.700.224) EN (x32 Version: 11.7.700.224)
GO Contact Sync Mod (x32 Version: 3.5.24)
Google Calendar Sync (x32)
HIPS (7.0 P8) EN (x32 Version: 7.00.0800)
Intel(R) Processor Graphics (x32 Version: 8.15.10.2342)
IZArc (4.1.6) ML (x32 Version: 4.1.6)
Java Runtime Environment (5.0_16) ML (x32 Version: 1.5.0.160)
Java Runtime Environment (6.0_24) ML (x32 Version: 6.0.240)
Juniper Installer Service (x32 Version: 7.1.0.18193)
Juniper Networks Network Connect 7.1.0 (x32 Version: 7.1.0.18193)
Juniper Networks, Inc. Setup Client (HKCU Version: 7.1.2.10059)
Juniper Networks, Inc. Setup Client Activex Control (x32 Version: 2.1.1.1)
K-lite codec Pack Basic (8.4.0) EN (x32 Version: 8.4.0)
LSI HDA Modem (Version: 2.2.97)
MapMyDrives (1.5) EN (x32 Version: 1.5)
MBAM CLIENT (1.0) EN (Version: 1.0.1237.1)
McAfee Agent (x32 Version: 4.6.0.3122)
McAfee DLP HotFix (Compatibility 14.4.0.387) (Version: 14.4.0.387)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft Access 2010 Runtime Service Pack 1 (SP1) (x32)
Microsoft Access Runtime 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office 2010 Language Pack Service Pack 1 (SP1) (x32)
Microsoft Office 2010 Service Pack 1 (SP1) (x32)
Microsoft Office Access Runtime 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Access Runtime MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Excel MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Excel MUI (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Excel MUI (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Excel MUI (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Office 64-bit Components 2010 (Version: 14.0.6029.1000)
Microsoft Office OneNote MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office OneNote MUI (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office OneNote MUI (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office OneNote MUI (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Outlook MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Outlook MUI (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Outlook MUI (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Outlook MUI (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office PowerPoint MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office PowerPoint MUI (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office PowerPoint MUI (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office PowerPoint MUI (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Arabic) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Basque) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Catalan) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Dutch) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Galician) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Italian) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Portuguese (Brazil)) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proof (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proofing (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proofing (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proofing (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Proofing (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Publisher MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Publisher MUI (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Publisher MUI (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Publisher MUI (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Shared 64-bit MUI (English) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared 64-bit MUI (French) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared 64-bit MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared 64-bit MUI (Spanish) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared 64-bit Setup Metadata MUI (English) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Shared MUI (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Shared MUI (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Shared MUI (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Shared Setup Metadata MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Standard 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Word MUI (English) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Word MUI (French) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Word MUI (German) 2010 (x32 Version: 14.0.6029.1000)
Microsoft Office Word MUI (Spanish) 2010 (x32 Version: 14.0.6029.1000)
Microsoft redistributable runtime DLLs VS2005 SP1(x86) (x32 Version: 8.0.50727.4053)
Microsoft redistributable runtime DLLs VS2008 SP1(x86) (x32 Version: 9.0)
Microsoft redistributable runtime DLLs VS2010 SP1 (x86) (x32 Version: 10.0.40219.1)
Microsoft Visual C++ 2005 Redist (8.0.61001_32b) EN (x32 Version: 8.0.61001)
Microsoft Visual C++ 2008 Redist (9.0.30729.4148_32b) EN (x32 Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161)
MSVC80_x86_v2 (x32 Version: 1.0.3.0)
MSXML 4.0 SP2 (KB954430) (x32 Version: 4.20.9870.0)
Nokia Connectivity Cable Driver (x32 Version: 7.1.36.0)
Nomad (4.0.1) EN (x32 Version: 4.0.1)
Numbering (4.4) EN (x32 Version: 4.4)
PC Connectivity Solution (x32 Version: 10.50.2.0)
PC Services (3.0.2) ML (x32 Version: 3.0.2)
PC Suite (7.1.60.0) EN (x32 Version: 7.1.60.0)
PDF iFilter (9.0.0) EN (Version: 9.0.0)
Realtek High Definition Audio Driver (x32 Version: 6.0.1.6069)
SAP Business Explorer (x32 Version: 7.20)
SAP GUI for Windows 7.20 (x32 Version: 7.20 Compilation 3)
SAP JNet (x32)
SCCM Ip Check (1.0) EN (x32 Version: 1.0)
SCCM Remote Control Disclaimer (1.0) EN (Version: 1.0)
Shockwave Player (12.0) EN (x32 Version: 12.0.2.122)
SilverLight (5.0.61118.0) ML (x32 Version: 5.0.61118.0)
SnagIt (10.0) EN (x32 Version: 10.0.0)
SVG Viewer (3.03) EN (x32 Version: 3.03)
Synaptics Pointing Device Driver (Version: 14.0.10.0)
TEMPLATE NAVIGATOR (4.0.0.2) ML (x32 Version: 4.0.0.2)
VirusScan (8.8 P1) EN (x32 Version: 8.8.01000)
Visio Viewer (2010) EN (x32 Version: 14.0.6029.1000)
Webex (8.23) EN (x32 Version: 8.23.2500)
WebEx (HKCU)
WebEx Productivity Tools (x32 Version: 2.23.2502)
Windows-Treiberpaket - Nokia Modem  (06/09/2010 7.01.0.8) (Version: 06/09/2010 7.01.0.8)
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0) (Version: 08/22/2008 7.0.0.0)

==================== Restore Points  =========================


==================== Hosts content: ==========================

2009-07-14 04:34 - 2013-08-08 18:56 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe No File
Task: {BD560C83-BD5E-4EE1-B77F-6BCE40B5F090} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-07-25] (Adobe Systems Incorporated)
Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe No File
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Faulty Device Manager Devices =============

Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows x64
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Cisco Systems
Service: vpnva
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (08/16/2013 02:20:11 PM) (Source: SccmIpcheck) (User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 02:20:11 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 01:04:07 PM) (Source: SccmIpcheck) (User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 01:04:07 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 01:00:36 PM) (Source: SccmIpcheck) (User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 01:00:35 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 00:58:38 PM) (Source: SccmIpcheck) (User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 00:58:38 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 00:50:09 PM) (Source: SccmIpcheck) (User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 00:50:08 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


System errors:
=============
Error: (08/16/2013 02:22:11 PM) (Source: TermService) (User: )
Description: Der Terminalserver kann den Dienstprinzipalnamen "TERMSRV", der für die Serverauthentifizierung verwendet werden soll, nicht registrieren. Der folgende Fehler ist aufgetreten: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.
.

Error: (08/16/2013 02:20:47 PM) (Source: DCOM) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}{B292921D-AF50-400C-9B75-0C57A7F29BA1}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)

Error: (08/16/2013 02:20:47 PM) (Source: Microsoft-Windows-GroupPolicy) (User: EU)
Description: Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator.

Error: (08/16/2013 02:20:09 PM) (Source: Microsoft-Windows-GroupPolicy) (User: NT-AUTORITÄT)
Description: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben: 
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller. 
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

Error: (08/16/2013 02:20:09 PM) (Source: NETLOGON) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne EU aufgrund der folgenden
Ursache nicht einrichten: 
%%1311

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (08/16/2013 02:20:02 PM) (Source: Ntfs) (User: )
Description: Auf dem Volume "\\?\Volume{36134fc5-457d-11e2-8e8f-806e6f6e6963}" konnte der Transaktionsressourcen-Manager aufgrund eines nicht wiederholbaren Fehlers nicht gestartet werden. Der Fehlercode ist in den Daten enthalten.

Error: (08/16/2013 01:05:28 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "McAfee HIPSCore Service" wurde mit folgendem dienstspezifischem Fehler beendet: %%2.

Error: (08/16/2013 01:05:28 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "McAfee Inc. mfehidk" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%1450

Error: (08/16/2013 01:05:28 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "McAfee McShield" ist vom Dienst "McAfee Validation Trust Protection Service" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (08/16/2013 01:05:28 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "McAfee Validation Trust Protection Service" ist vom Dienst "McAfee Inc. mfehidk" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1450


Microsoft Office Sessions:
=========================
Error: (08/16/2013 02:20:11 PM) (Source: SccmIpcheck)(User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 02:20:11 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 01:04:07 PM) (Source: SccmIpcheck)(User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 01:04:07 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 01:00:36 PM) (Source: SccmIpcheck)(User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 01:00:35 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 00:58:38 PM) (Source: SccmIpcheck)(User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 00:58:38 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (08/16/2013 00:50:09 PM) (Source: SccmIpcheck)(User: )
Description: ERROR:In sub generateCCR Der Index und die Länge müssen sich auf eine Position in der Zeichenfolge beziehen.
Parametername: length

Error: (08/16/2013 00:50:08 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


==================== Memory info =========================== 

Percentage of memory in use: 26%
Total physical RAM: 4007.17 MB
Available physical RAM: 2927.37 MB
Total Pagefile: 8012.52 MB
Available Pagefile: 6618.68 MB
Total Virtual: 8192 MB
Available Virtual: 8191.83 MB

==================== Drives ================================

Drive c: (OSDisk) (Fixed) (Total:118.84 GB) (Free:36.71 GB) NTFS (Disk=0 Partition=1)
Drive f: () (Removable) (Total:0.93 GB) (Free:0.93 GB) FAT32 (Disk=1 Partition=1)

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 119 GB) (Disk ID: 5F7534EC)
Partition 1: (Not Active) - (Size=119 GB) - (Type=07 NTFS)
Partition 2: (Active) - (Size=400 MB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 961 MB) (Disk ID: 6E652072)
No partition Table on disk 1.

==================== End Of Log ============================
         

Geändert von morpheus2276 (16.08.2013 um 13:36 Uhr)

Alt 16.08.2013, 13:41   #10
aharonov
/// TB-Ausbilder
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



Ich hab im Log keine weitere Malware gesehen.

Zu den Löchern: Dein Adobe PDF Reader, Adobe Flashplayer, Adobe Shockwave Player, Java Runtime Environment und Internet Explorer sind alle (z.T. stark) veraltet! Durch bekannte Sicherheitslücken in diesen veralteten Versionen fängt man sich im Internet solche Malware ein. Die alten Versionen müssen alle runter und (falls weiterhin benötigt) die jeweils aktuellste drauf.


Als Zweitmeinung kannst du MBAM laufen lassen, ob der noch weitere Malware findet:


Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

__________________
cheers,
Leo

Alt 16.08.2013, 13:53   #11
morpheus2276
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



quickscan hat doch 5 Dinger gefunden, hoffe das sind keine false positives....

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.16.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
TH8706 :: HALL900028737 [Administrator]

Schutz: Aktiviert

16.08.2013 14:46:40
mbam-log-2013-08-16 (14-46-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 341112
Laufzeit: 3 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl|1 (Malware.Trace) -> Daten: Microsoft.BitLockerDriveEncryption -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|NoDispScrSavPage (PUM.Hijack.DisplayProperties) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel|HomePage (PUM.Hijack.HomePageControl) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\$Recycle.Bin\S-1-5-21-878717028-1334384809-310601177-399420\$RDR6TH2.zip (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\TH8706\Templates\2433f433 (Trojan.Agent.TPL) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
die Adobe Soft ist leider so vorgegeben. Ich versuche es mal sie zu aktualisieren.....

Alt 16.08.2013, 14:18   #12
aharonov
/// TB-Ausbilder
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



Die drei Policies in der Registry, die MBAM korrigiert hat, waren wohl nicht bösartig, sondern bewusst so gesetzt.

Die beiden uralten Java-Versionen, die du drauf hast, sind wohl gravierender als die Adobe Software...
__________________
cheers,
Leo

Alt 16.08.2013, 14:31   #13
morpheus2276
 
GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Standard

GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen



naja, sei's drum.

Danke soweit. Spende folgt.

Antwort

Themen zu GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen
alten, andere, association, bitlocker, cmd, erreiche, farbar, farbar recovery scan tool, file, files, frst64.exe, funktionier, funktioniert, gvu - trojaner - abgesicherter modus geht nicht, hilfe!, irgendetwas, laufwerk, methode, problem, scan, scanne, scannen, starte, startet, troja, trojaner, verdammte, verdammten, verschlüsselt, wiederherstellungspunkte, win7 64bit, wscript.exe




Ähnliche Themen: GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen


  1. Booten langsam, Drucker geht...geht nicht,Programme öffnen geht...geht nicht
    Plagegeister aller Art und deren Bekämpfung - 25.06.2015 (19)
  2. Windows 7:GVU Trojaner mit Sperrschirm frst datei erstellt und wie geht es weiter
    Log-Analyse und Auswertung - 07.03.2015 (14)
  3. GVU Trojaner sehr hartnäckig- habe frst.txt erstellt und weiß nun nicht weiter
    Log-Analyse und Auswertung - 11.11.2014 (44)
  4. Ich komme nicht ins Internet obwohl ich Verbindung haben müsste (Windows7)
    Alles rund um Windows - 24.04.2014 (3)
  5. TubeSaver 15, W7x64, Registry Einträge lassen sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (7)
  6. Interpol Trojaner Windows 7 Statusfenster von frst erscheint nicht
    Log-Analyse und Auswertung - 08.12.2013 (3)
  7. GVU Trojaner Abgesichter Modus funktioniert nicht! FRST Scan durchgeführt.
    Log-Analyse und Auswertung - 15.07.2013 (5)
  8. Bundespolizei Trojaner eingefangen safe mode geht nicht
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (37)
  9. PC gesperrt-GVU Trojaner (auch im safe-mode) OTL Frage!
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (7)
  10. GVU Pc Gesperrt und nix geht mehr nur save mode
    Plagegeister aller Art und deren Bekämpfung - 11.01.2013 (6)
  11. (2x) Gema-Trojaner schlaegt auch im Safe-Mode durch
    Mülltonne - 19.03.2012 (1)
  12. Gema-Trojaner schlaegt auch im Safe-Mode durch
    Log-Analyse und Auswertung - 19.03.2012 (1)
  13. Windows 7 Safe Mode
    Log-Analyse und Auswertung - 14.03.2011 (15)
  14. Aufeinmal geht der PC beim Scannen aus, schon 3 mal.
    Plagegeister aller Art und deren Bekämpfung - 20.10.2007 (11)
  15. nach escan im Safe Mode ist PC wahnsinnig langsam geworden
    Log-Analyse und Auswertung - 11.03.2006 (2)
  16. thnall1z.exe....W2K Safe Mode nicht mehr möglich!
    Log-Analyse und Auswertung - 05.11.2005 (1)
  17. thnall1z.exe....W2K Safe Mode nicht mehr möglich!
    Plagegeister aller Art und deren Bekämpfung - 04.11.2005 (2)

Zum Thema GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen - Hallo, ich habe mir irgendwie diesen verdammten GVU Trojaner eingefangen. Was mein Problem schwieriger macht ist, dass mein Laufwerk mit Bitlocker verschlüsselt und ich einige Anstalten machen musste um irgendetwas - GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen...
Archiv
Du betrachtest: GVU Trojaner W7x64, safe mode geht nicht, FRST müsste D scannen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.