Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 24.08.2013, 13:42   #1
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo
Wir haben auf unserem Rechner obigen Virus. Von den 4 eingerichteten Benutzern (1 x Admin 3 x Standardbenutzer) ist einer (standardbenutzer) durch den GUV Bildschirm mit der Zahlungsaufforderung blockiert. Die anderen können sich ungehindert anmelden.

Schritt 1 defogger wurde erfolgreich ausgeführt
Schritt 2 frst wurde ausgeführt anbei das frst.text

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 23-08-2013 01
Ran by Karsten (ATTENTION: The logged in user is not administrator) on 24-08-2013 13:08:29
Running from C:\Users\Karsten\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(ODSoft multimedia) C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(Intel(R) Corporation) C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(ScanSoft, Inc.) C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
(ArcSoft Inc.) C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\Windows\WindowsMobile\wmdSync.exe
(Vimicro Corporation) C:\Program Files\vimicro\VMUVC\VMonitor.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(Google Inc.) C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(ArcSoft Inc.) C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
(Intel(R) Corporation) C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe
(Adobe Systems Incorporated) C:\Windows\system32\Macromed\Flash\FlashUtil32_11_8_800_94_ActiveX.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [TVBroadcast] - C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe [797696 2007-08-08] (ODSoft multimedia)
HKLM\...\Run: [Windows Defender] - C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-19] (Microsoft Corporation)
HKLM\...\Run: [IAAnotif] - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [178712 2007-10-09] (Intel Corporation)
HKLM\...\Run: [NMSSupport] - C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe [439512 2007-06-27] (Intel Corporation)
HKLM\...\Run: [CCUTRAYICON] - C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe [215256 2007-06-27] (Intel(R) Corporation)
HKLM\...\Run: [RtHDVCpl] - C:\Windows\RtHDVCpl.exe [4706304 2007-11-14] (Realtek Semiconductor)
HKLM\...\Run: [Skytel] - C:\Windows\Skytel.exe [1826816 2007-10-11] (Realtek Semiconductor Corp.)
HKLM\...\Run: [NvSvc] - C:\Windows\system32\nvsvc.dll [86016 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [8530464 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] - C:\Windows\system32\NvMcTray.dll [81920 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [toolbar_eula_launcher] - C:\Program Files\GoogleEULA\EULALauncher.exe [x]
HKLM\...\Run: [SSBkgdUpdate] - C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [155648 2003-10-14] (Scansoft, Inc.)
HKLM\...\Run: [PaperPort PTD] - C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe [57393 2005-03-17] (ScanSoft, Inc.)
HKLM\...\Run: [IndexSearch] - C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe [40960 2005-03-17] (ScanSoft, Inc.)
HKLM\...\Run: [ArcSoft Connection Service] - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe [207424 2010-10-27] (ArcSoft Inc.)
HKLM\...\Run: [FreePDF Assistant] - C:\Program Files\FreePDF_XP\fpassist.exe [385024 2009-09-05] (shbox.de)
HKLM\...\Run: [Windows Mobile-based device management] - C:\Windows\WindowsMobile\wmdSync.exe [215552 2006-11-02] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Java\jre6\bin\jusched.exe" [x]
HKLM\...\Run: [VMonitorVMUVC] - C:\Program Files\Vimicro\VMUVC\VMonitor.exe [135168 2008-03-26] (Vimicro Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-07-01] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-05-31] (Apple Inc.)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2009-10-28] (Google Inc.)
HKCU\...\Run: [WMPNSCFG] - C:\Program Files\Windows Media Player\WMPNSCFG.exe [202240 2008-01-19] (Microsoft Corporation)
MountPoints2: F - F:\Toshiba\more4you.exe
MountPoints2: {57357997-ee9b-11e2-ba6e-001d922dc157} - H:\Startme.exe
MountPoints2: {9aebc845-5c65-11df-91aa-806e6f6e6963} - E:\start.exe /auto
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\t@x aktuell.lnk
ShortcutTarget: t@x aktuell.lnk -> C:\Program Files\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk
ShortcutTarget: WISO Mein Steuer-Sparbuch heute.lnk -> C:\Program Files\Buhl finance\wiso2013\mshaktuell.exe ()
Startup: C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office10\Office14\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget: runctf.lnk -> C:\Users\Vera\3194794.dll (No File)
Startup: C:\Users\Vera_Luis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2536373
BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL (ArcSoft, Inc.)
BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office10\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll (Google Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU -Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: ipp - No CLSID Value - 
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Handler: msdaipp - No CLSID Value - 
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Karsten\AppData\Roaming\Mozilla\Firefox\Profiles\qvovhlid.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~3\Office10\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~3\Office10\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=6.0.11.3088 - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprjplug;version=1.0.2.3146 - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpjplug;version=6.0.11.3006 - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=1.1.11 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF Plugin: @videolan.org/vlc,version=2.0.1 - C:\Program Files\VideoLAN\VLC_2_0_1\npvlc.dll (VideoLAN)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: No Name - C:\Users\Karsten\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
FF Extension: Microsoft .NET Framework Assistant - C:\Users\Karsten\AppData\Roaming\Mozilla\Firefox\Profiles\qvovhlid.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF Extension: Default - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] C:\Program Files\Real\RealPlayer\browserrecord
FF Extension: RealPlayer Browser Record Plugin - C:\Program Files\Real\RealPlayer\browserrecord
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{B728AB94-9BC7-49b7-B76A-422BB31B2FD0}] C:\Program Files\ArcSoft\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox
FF Extension: Internet Video Downloader - C:\Program Files\ArcSoft\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox

Chrome: 
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"

========================== Services (Whitelisted) =================

R2 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
R2 AlertService; C:\Program Files\Intel\IntelDH\CCU\AlertService.exe [223448 2007-06-27] (Intel(R) Corporation)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG)
R2 bgsvcgen; C:\Windows\System32\bgsvcgen.exe [145504 2007-06-15] (B.H.A Corporation)
R2 Brother XP spl Service; C:\Windows\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
S3 DHTRACE; C:\Program Files\Common Files\Intel\IntelDH\bin\DHTraceController.exe [39640 2007-06-27] (Intel(R) Corporation)
R2 DQLWinService; C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [208896 2007-02-12] ()
S3 FirebirdServerMAGIXInstance; C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [1527900 2005-11-17] (MAGIX®)
R2 GnabService; c:\program files\common files\gnab\service\servicecontroller.exe [36864 2007-04-13] (Empolis GmbH)
S3 GoogleDesktopManager; C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe [69120 2009-10-27] (Google)
R2 iphlpsvc; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 ISSM; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe [59096 2007-06-27] (Intel(R) Corporation)
R2 lmhosts; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 M1 Server; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe [268504 2007-06-27] ()
R2 MCLServiceATL; C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe [157912 2007-06-27] (Intel(R) Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 NMSCore; C:\Program Files\Common Files\Intel\IntelDH\NMS\NMSCore\NMSCore.exe [317656 2007-06-27] (Intel(R) Corporation)
R2 Norton PC Checkup Application Launcher; C:\Program Files\Norton PC Checkup 3.0\SymcPCCULaunchSvc.exe [132056 2012-07-17] (Symantec Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 OMSI download service; C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [90112 2009-04-30] ()
R2 QualityManager; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\qualitymanager.exe [272600 2007-06-27] (Intel(R) Corporation)
R2 Remote UI Service; C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe [446680 2007-06-27] (Intel(R) Corporation)
R2 RichVideo; C:\Program Files\CyberLink\Shared Files\RichVideo.exe [272024 2007-01-09] ()
S3 Sony PC Companion; C:\Program Files\Sony\Sony PC Companion\PCCService.exe [155824 2013-02-04] (Avanquest Software)
R2 srvcPVR; C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [1681408 2007-08-16] (Buhl Data Service GmbH)
R2 TVECapSvc; C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVECapSvc.exe [290909 2007-10-19] ()
R2 TVESched; C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVESched.exe [114779 2007-10-19] ()
R2 x10nets; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [20480 2001-11-12] (X10)

==================== Drivers (Whitelisted) ====================

R3 3xHybrid; C:\Windows\System32\DRIVERS\3xHybrid.sys [1006816 2011-11-13] (NXP Semiconductors Germany GmbH)
R3 Afc; C:\Windows\System32\drivers\Afc.sys [11776 2005-02-23] (Arcsoft, Inc.)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-05] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-05] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-05] (Avira Operations GmbH & Co. KG)
R0 CLFS; C:\Windows\System32\CLFS.sys [245736 2009-04-11] (Microsoft Corporation)
S3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [45568 2006-11-02] (VIA Technologies, Inc.              )
R3 IntelDH; C:\Windows\System32\Drivers\IntelDH.sys [5632 2007-10-15] (Intel Corporation)
R3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [554496 2007-09-21] (Ralink Technology Corp.)
R2 nmsunidr; C:\Windows\System32\DRIVERS\nmsunidr.sys [5376 2007-02-18] (Gteko Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-23] (Avira GmbH)
S3 TSHWMDTCP; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.sys [14552 2007-06-27] ()
R3 VMUVC; C:\Windows\System32\Drivers\VMUVC.sys [250240 2008-06-16] (Vimicro Corporation)
R3 vvftUVC; C:\Windows\System32\drivers\vvftUVC.sys [476160 2008-06-16] (Vimicro Corporation)
R3 X10Hid; C:\Windows\System32\Drivers\x10hid.sys [13976 2006-11-17] (X10 Wireless Technology, Inc.)
R3 XUIF; C:\Windows\System32\Drivers\x10ufx2.sys [27416 2006-11-30] (X10 Wireless Technology, Inc.)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-24 13:06 - 2013-08-24 13:07 - 00000472 _____ C:\Users\Karsten\Desktop\defogger_disable.log
2013-08-24 12:28 - 2013-08-24 12:43 - 00377856 _____ C:\Users\Karsten\Desktop\gmer_2.1.19163.exe
2013-08-24 12:26 - 2013-08-24 12:26 - 00050477 _____ C:\Users\Karsten\Desktop\Defogger.exe
2013-08-24 12:25 - 2013-08-24 12:26 - 01070467 _____ (Farbar) C:\Users\Karsten\Desktop\FRST.exe
2013-08-21 16:40 - 2013-08-21 16:40 - 00163206 _____ C:\ProgramData\2433f433
2013-08-21 16:40 - 2013-08-21 16:40 - 00163176 _____ C:\Users\Vera\AppData\Roaming\2433f433
2013-08-21 16:40 - 2013-08-21 16:40 - 00163175 _____ C:\Users\Vera\AppData\Local\2433f433
2013-08-17 20:41 - 2013-08-17 20:41 - 00000000 ____D C:\Users\Karsten\restore
2013-08-17 20:34 - 2013-08-18 23:34 - 00000000 ____D C:\ProgramData\tmp
2013-08-17 20:34 - 2013-08-18 13:28 - 00000000 ____D C:\ProgramData\hps
2013-08-17 13:05 - 2013-08-17 13:05 - 00001112 _____ C:\Users\Public\Desktop\Mein CEWE FOTOBUCH.lnk
2013-08-17 13:05 - 2013-08-17 13:05 - 00001092 _____ C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk
2013-08-17 13:01 - 2013-08-17 13:01 - 00000000 ____D C:\Program Files\CEWE COLOR
2013-08-16 08:08 - 2013-08-16 08:12 - 00000000 ____D C:\Windows\system32\MRT
2013-08-16 08:01 - 2013-07-25 04:26 - 01129472 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-08-16 08:01 - 2013-07-25 04:24 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00717824 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00607744 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00420864 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00142848 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-08-16 08:01 - 2013-07-25 04:22 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-08-16 08:01 - 2013-07-25 04:22 - 00176640 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-08-16 08:01 - 2013-07-25 04:22 - 00073216 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-08-16 08:00 - 2013-07-25 04:40 - 12334080 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-08-16 08:00 - 2013-07-25 04:32 - 01800704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-08-16 08:00 - 2013-07-25 04:30 - 09738752 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-08-16 08:00 - 2013-07-25 04:26 - 01104384 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-08-16 08:00 - 2013-07-25 04:25 - 01427968 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-08-16 08:00 - 2013-07-25 04:24 - 00231936 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-08-16 08:00 - 2013-07-25 04:23 - 01796096 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-08-15 18:18 - 2013-07-05 06:53 - 00905664 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-08-15 18:18 - 2013-06-15 15:22 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\icaapi.dll
2013-08-15 18:18 - 2013-06-15 13:23 - 00024064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tssecsrv.sys
2013-08-15 18:17 - 2013-07-17 21:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-08-15 18:17 - 2013-07-10 11:47 - 00783360 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2013-08-15 18:17 - 2013-07-09 14:10 - 01205168 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-08-15 18:17 - 2013-07-08 06:55 - 03603904 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-08-15 18:17 - 2013-07-08 06:55 - 03551680 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-08-15 18:17 - 2013-07-08 06:20 - 00172544 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00992768 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00133120 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2013-08-06 08:01 - 2013-08-06 08:01 - 00002120 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-08-04 12:49 - 2013-08-04 12:49 - 00000000 ____D C:\Program Files\Common Files\Windows Live
2013-08-04 09:23 - 2013-08-04 09:23 - 00001711 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-08-04 09:22 - 2013-08-04 09:23 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-04 09:22 - 2013-08-04 09:23 - 00000000 ____D C:\Program Files\iTunes
2013-08-04 09:22 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iPod
2013-08-04 09:17 - 2013-08-04 09:17 - 00001773 _____ C:\Users\Public\Desktop\QuickTime Player.lnk
2013-08-04 09:16 - 2013-08-04 09:17 - 00000000 ____D C:\Program Files\QuickTime

==================== One Month Modified Files and Folders =======

2013-08-24 13:07 - 2013-08-24 13:06 - 00000472 _____ C:\Users\Karsten\Desktop\defogger_disable.log
2013-08-24 13:06 - 2009-10-27 23:58 - 00000000 ____D C:\Users\admin
2013-08-24 13:05 - 2009-11-14 09:09 - 00000430 ____H C:\Windows\Tasks\User_Feed_Synchronization-{C876FE5A-1437-4CD4-9957-1A2CAE695F35}.job
2013-08-24 13:02 - 2013-01-13 13:27 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-24 12:59 - 2010-01-20 22:29 - 00001096 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-08-24 12:58 - 2010-01-20 22:29 - 00001092 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-08-24 12:49 - 2009-11-01 09:41 - 00000000 ____D C:\aadaten\900_Rechner
2013-08-24 12:43 - 2013-08-24 12:28 - 00377856 _____ C:\Users\Karsten\Desktop\gmer_2.1.19163.exe
2013-08-24 12:26 - 2013-08-24 12:26 - 00050477 _____ C:\Users\Karsten\Desktop\Defogger.exe
2013-08-24 12:26 - 2013-08-24 12:25 - 01070467 _____ (Farbar) C:\Users\Karsten\Desktop\FRST.exe
2013-08-24 12:23 - 2006-11-02 14:47 - 00003344 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-24 12:23 - 2006-11-02 14:47 - 00003344 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-24 12:16 - 2009-10-27 11:40 - 01102376 _____ C:\Windows\WindowsUpdate.log
2013-08-24 10:05 - 2006-11-02 14:37 - 00000000 ___RD C:\Users\Public\Recorded TV
2013-08-24 10:02 - 2006-11-02 15:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-24 10:00 - 2006-11-02 15:01 - 00032530 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-08-21 19:27 - 2006-11-02 12:33 - 01586672 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-21 17:03 - 2012-04-01 11:17 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-08-21 17:03 - 2011-11-26 15:56 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-21 16:40 - 2013-08-21 16:40 - 00163206 _____ C:\ProgramData\2433f433
2013-08-21 16:40 - 2013-08-21 16:40 - 00163176 _____ C:\Users\Vera\AppData\Roaming\2433f433
2013-08-21 16:40 - 2013-08-21 16:40 - 00163175 _____ C:\Users\Vera\AppData\Local\2433f433
2013-08-18 23:34 - 2013-08-17 20:34 - 00000000 ____D C:\ProgramData\tmp
2013-08-18 13:28 - 2013-08-17 20:34 - 00000000 ____D C:\ProgramData\hps
2013-08-18 12:57 - 2009-10-29 21:57 - 00000000 ____D C:\Users\Karsten\AppData\Local\Google
2013-08-17 20:41 - 2013-08-17 20:41 - 00000000 ____D C:\Users\Karsten\restore
2013-08-17 13:05 - 2013-08-17 13:05 - 00001112 _____ C:\Users\Public\Desktop\Mein CEWE FOTOBUCH.lnk
2013-08-17 13:05 - 2013-08-17 13:05 - 00001092 _____ C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk
2013-08-17 13:01 - 2013-08-17 13:01 - 00000000 ____D C:\Program Files\CEWE COLOR
2013-08-17 10:48 - 2010-11-08 21:02 - 00002759 _____ C:\Users\Karsten\Desktop\Microsoft PowerPoint 2010.lnk
2013-08-17 10:37 - 2010-03-02 09:54 - 00000000 ____D C:\Users\Karsten\AppData\Local\FreePDF_XP
2013-08-17 10:36 - 2010-02-04 08:22 - 00008400 _____ C:\fpRedmon.log
2013-08-16 08:49 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\rescache
2013-08-16 08:42 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-16 08:27 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\system32\de-DE
2013-08-16 08:12 - 2013-08-16 08:08 - 00000000 ____D C:\Windows\system32\MRT
2013-08-16 08:08 - 2006-11-02 12:24 - 75778376 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-08-16 08:06 - 2007-10-10 12:37 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-08-13 12:50 - 2009-11-01 09:41 - 00000000 ____D C:\aadaten\excel
2013-08-13 09:41 - 2006-11-02 14:52 - 00209168 _____ C:\Windows\setupact.log
2013-08-13 09:36 - 2009-11-30 21:33 - 00038400 _____ C:\Users\Karsten\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-08-07 12:13 - 2009-11-01 09:23 - 00000000 ____D C:\aadaten\250_verschiedenes
2013-08-06 08:01 - 2013-08-06 08:01 - 00002120 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-08-06 08:01 - 2009-10-27 11:40 - 00000000 ____D C:\Program Files\Google
2013-08-05 10:28 - 2007-10-10 13:56 - 00200854 _____ C:\Windows\PFRO.log
2013-08-04 17:34 - 2009-11-01 09:23 - 00000000 ____D C:\aadaten\300_Bilder
2013-08-04 12:49 - 2013-08-04 12:49 - 00000000 ____D C:\Program Files\Common Files\Windows Live
2013-08-04 09:23 - 2013-08-04 09:23 - 00001711 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-08-04 09:23 - 2013-08-04 09:22 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-04 09:23 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iTunes
2013-08-04 09:22 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iPod
2013-08-04 09:22 - 2010-02-20 16:07 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-08-04 09:17 - 2013-08-04 09:17 - 00001773 _____ C:\Users\Public\Desktop\QuickTime Player.lnk
2013-08-04 09:17 - 2013-08-04 09:16 - 00000000 ____D C:\Program Files\QuickTime
2013-08-03 20:08 - 2009-11-01 09:41 - 00000000 ____D C:\aadaten\hgw
2013-07-31 18:02 - 2012-12-08 16:03 - 00002018 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2013-07-31 07:35 - 2007-10-10 13:06 - 00000000 ____D C:\ProgramData\Adobe
2013-07-25 04:40 - 2013-08-16 08:00 - 12334080 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-25 04:32 - 2013-08-16 08:00 - 01800704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-07-25 04:30 - 2013-08-16 08:00 - 09738752 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-25 04:26 - 2013-08-16 08:01 - 01129472 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-25 04:26 - 2013-08-16 08:00 - 01104384 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-25 04:25 - 2013-08-16 08:00 - 01427968 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-07-25 04:24 - 2013-08-16 08:01 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-25 04:24 - 2013-08-16 08:00 - 00231936 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00717824 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00607744 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00420864 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00142848 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-07-25 04:23 - 2013-08-16 08:00 - 01796096 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-25 04:22 - 2013-08-16 08:01 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-25 04:22 - 2013-08-16 08:01 - 00176640 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-25 04:22 - 2013-08-16 08:01 - 00073216 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll

Files to move or delete:
====================
C:\ProgramData\4974913.pad
C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== End Of Log ============================
         

und das additon.txt

Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 23-08-2013 01
Ran by Karsten at 2013-08-24 13:16:17
Running from C:\Users\Karsten\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

 Update for Microsoft Office 2007 (KB2508958)
7-Zip 4.65
Activation Assistant for the 2007 Microsoft Office suites
Activation Assistant for the 2007 Microsoft Office suites (Version: 1.0)
Adobe Flash Player 11 ActiveX (Version: 11.8.800.94)
Adobe Flash Player 11 Plugin (Version: 11.8.800.94)
Adobe Reader 8.3.1 - Deutsch (Version: 8.3.1)
ALDI Foto Manager Free Sued (Version: 3.4.0.466)
ALDI Online Druck Service (Sued)
ALDI Sued Foto Service (Version: 1.12.0.93)
Aldi Süd Fotoservice
Apple Application Support (Version: 2.3.4)
Apple Mobile Device Support (Version: 6.1.0.13)
Apple Software Update (Version: 2.1.3.127)
ArcSoft Software Suite
Avanquest update (Version: 1.29)
Avira Free Antivirus (Version: 13.0.0.3885)
AVM FRITZ!Box Dokumentation
AVM FRITZ!Box Druckeranschluss
Bonjour (Version: 3.0.0.10)
Brother MFL-Pro Suite (Version: 1.00)
Chinese Simplified Fonts Support For Adobe Reader 8 (Version: 8.0.0)
Compatibility Pack für 2007 Office System (Version: 12.0.6612.1000)
Cornelsen Kalender (Version: 1.00.0000)
Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition
Die Sims™ 2 Deluxe
Die Sims™ 2 Küchen- und Bad-Einrichtungs-Accessoires
Die Sims™ 2 Teen Style-Accessoires
Driver Whiz (Version: 8.1)
DVRMSToolbox (Version: 1.2.1)
English Coach 21 1 (Version: 1.00.0000)
Firebird SQL Server - MAGIX Edition (Version: 2.0.1.8)
Freddy:Deutsch5/Deutsch6
Free iPad Video Converter 3.7.2.1
FreePDF (Remove only)
Genius Politik
GeoGebra 4.2
GoGear VIBE Device Manager (Version: 01.05)
Goldfinger Junior 4 (Version: 4.0.0)
Google Chrome (Version: 28.0.1500.95)
Google Desktop (Version: -)
Google Earth (Version: 7.1.1.1888)
Google Toolbar for Internet Explorer (Version: 1.0.0)
Google Update Helper (Version: 1.3.21.153)
GPL Ghostscript 8.70
Intel(R) Matrix Storage Manager
Intel(R) PRO Network Connections 12.2.41.0 (Version: 12.2.41.0)
Intel® Viiv™ Software (Version: 1.7.512.0)
IrfanView (remove only)
iTunes (Version: 11.0.4.4)
Java Auto Updater (Version: 2.0.6.1)
Java(TM) 6 Update 29 (Version: 6.0.290)
LEGO MINDSTORMS NXT - (Deutsch) Sprachenpaket (Version: 2.0.100.0)
LEGO MINDSTORMS NXT Driver (Version: 1.17.770)
LEGO MINDSTORMS NXT Migration Package (Version: 1.2.8.0)
LEGO MINDSTORMS NXT Software v2.0 (Version: 2.0.108.0)
Letstrade (Version: 1.00.0000)
LetsTrade Komponenten
MakeDisc (Version: 3.0.2516)
MCE Software Encoder 1.1 (Version: 1.1.0.1918)
MD 85872 WEBCAM (Version: 2008.05.14)
Media Converter for Philips (Version: 2.5.2.191)
MediaShow (Version: 3.0.4325)
MEDION Fotos auf CD Sued (Version: 6.0.2.0)
Medion GoPal Assistant 4.03.006 (Version: 4.3.6.0)
MEDIONbox (Version: 1.09.0000.00050)
Mein CEWE FOTOBUCH (Version: 5.0.4)
Microsoft .NET Framework 1.1 (Version: 1.1.4322)
Microsoft .NET Framework 1.1 Security Update (KB2698023)
Microsoft .NET Framework 1.1 Security Update (KB2833941)
Microsoft .NET Framework 1.1 Security Update (KB979906)
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended DEU Language Pack (Version: 4.0.30319)
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office 2010 Service Pack 1 (SP1)
Microsoft Office 97, Professional Edition
Microsoft Office Access MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Excel MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office File Validation Add-In (Version: 14.0.5130.5003)
Microsoft Office Home and Student 2007 (Version: 12.0.6612.1000)
Microsoft Office Home and Student 2010 (Version: 14.0.6029.1000)
Microsoft Office Live Add-in 1.5 (Version: 2.0.4024.1)
Microsoft Office OneNote MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office OneNote MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Outlook MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office PowerPoint MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office PowerPoint Viewer 2007 (German) (Version: 12.0.6612.1000)
Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (English) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (French) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (Italian) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proofing (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Publisher MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Shared MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Single Image 2010 (Version: 14.0.6029.1000)
Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Word MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Silverlight (Version: 5.1.20513.0)
Microsoft Speech Recognition Engine 4.0 (English)
Microsoft SQL Server Compact 3.5 SP1 English (Version: 3.5.5692.0)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (Version: 8.0.50727.4053)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Microsoft Word 2000 (Version: 9.00.2816)
Microsoft Works (Version: 9.7.0621)
Mozilla Firefox 5.0 (x86 de) (Version: 5.0)
MSXML 4.0 SP2 (KB925672) (Version: 4.20.9839.0)
MSXML 4.0 SP2 (KB927978) (Version: 4.20.9841.0)
MSXML 4.0 SP2 (KB936181) (Version: 4.20.9848.0)
MSXML 4.0 SP2 (KB941833) (Version: 4.20.9849.0)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
Napster (Version: 4.6.2.1)
Napster Burn Engine (Version: 3.5.0000)
Nero 8 Essentials (Version: 8.3.500)
neroxml (Version: 1.0.0)
Norton PC Checkup (Version: 3.0.2.122.0)
NPS - Nolte Collection / Horizont Edition 8.2.41 (Version: 8.2.41)
NVIDIA Drivers
PaperPort (Version: 9.02.0823)
PHOTOfunSTUDIO 5.1 HD Edition (Version: 5.01.127)
PhotoNow! (Version: 1.0.4310)
Picasa 3 (Version: 3.9)
Pod to PC 4.003
PowerDirector (Version: 6.5.2209a)
PowerDVD (Version: 7.0.3118.0)
PowerProducer (Version: 4.2.2504)
QuickTime (Version: 7.74.80.86)
RealPlayer
Realtek High Definition Audio Driver (Version: 6.0.1.5512)
Recuva
RedMon - Redirection Port Monitor
Safari (Version: 5.34.57.2)
Sceneo AbsolutTV
Sony Ericsson PC Suite 6.011.00 (Version: 6.011.00)
Sony Ericsson Update Engine (Version: 2.11.1.9)
Sony PC Companion 2.10.165 (Version: 2.10.165)
Spelling Dictionaries Support For Adobe Reader 8 (Version: 8.1.0)
STANLY Track
swMSM (Version: 12.0.0.1)
t@x 2010 Standard (Version: 17.00.6531)
t@x 2011 (Version: 18.00.6928)
t@x 2012 (Version: 19.00.7303)
TIPP10 Version 2.0.1
TV Enhance (Version: 1.0.4916)
TVsweeper 3 (Version: 3.0.3)
Ulead PhotoImpact 12 (Version: 12.0)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2473228) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2600217) (Version: 1)
Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596660) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596848) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2687493) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767849) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition
Update for Microsoft Office 2010 (KB2494150)
Update for Microsoft Office 2010 (KB2553065)
Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553270) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553310) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553378) 32-Bit Edition
Update for Microsoft Office 2010 (KB2566458)
Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition
Update for Microsoft Office 2010 (KB2598242) 32-Bit Edition
Update for Microsoft Office 2010 (KB2687503) 32-Bit Edition
Update for Microsoft Office 2010 (KB2687509) 32-Bit Edition
Update for Microsoft Office 2010 (KB2760631) 32-Bit Edition
Update for Microsoft Office 2010 (KB2767886) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2553290) 32-Bit Edition
Update for Microsoft Outlook 2010 (KB2597090) 32-Bit Edition
Update for Microsoft Outlook 2010 (KB2687623) 32-Bit Edition
Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition
Update for Microsoft PowerPoint 2010 (KB2598240) 32-Bit Edition
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VCRedistSetup (Version: 1.0.0)
VLC media player 2.0.1 (Version: 2.0.1)
WISO Mein Geld 2008 Professional (Version: 9.00.01.0023)
WISO Steuer-Sparbuch 2013 (Version: 20.00.8137)
X10 Hardware(TM)
 

==================== Restore Points  =========================

Could not list Restore Points.


==================== Hosts content: ==========================

2006-11-02 12:23 - 2006-09-18 23:41 - 00000761 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1       localhost
::1             localhost

==================== Scheduled Tasks (whitelisted) =============

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => ?
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => ?
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => ?
Task: C:\Windows\Tasks\User_Feed_Synchronization-{C876FE5A-1437-4CD4-9957-1A2CAE695F35}.job => ?

==================== Faulty Device Manager Devices =============

Name: USB-Massenspeichergerät
Description: USB-Massenspeichergerät
Class Guid: {36fc9e60-c465-11cf-8056-444553540000}
Manufacturer: Kompatibles USB-Speichergerät
Service: USBSTOR
Problem: : Windows cannot use this hardware device because it has been prepared for safe removal, but it has not been removed from the computer. (Code 47)
Resolution: Unplug the device, and then plug it in again. Alternately, restart the computer to make the device available.

Name: USB-Massenspeichergerät
Description: USB-Massenspeichergerät
Class Guid: {36fc9e60-c465-11cf-8056-444553540000}
Manufacturer: Kompatibles USB-Speichergerät
Service: USBSTOR
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (08/20/2013 10:20:15 PM) (Source: EventSystem) (User: )
Description: 80070005EventSystem.EventSubscription{81B1EA48-D443-474F-8799-9E6278AD21FC}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}

Error: (08/19/2013 09:28:31 PM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\KARSTEN\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\LOW\CONTENT.IE5\0LYVZDRR\UPLOAD[1].HTM> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error: (08/16/2013 08:07:06 AM) (Source: Windows Search Service) (User: )
Description: Die Leistungsüberwachung für den Gatherer-Dienst kann nicht initialisiert werden, da die Datenquellen nicht geladen sind oder das freigegebene Speicherobjekt nicht geöffnet werden konnte. Dies beeinträchtigt lediglich die Verfügbarkeit der Leistungsindikatoren. Starten Sie den Computer erneut.

Kontext:  Anwendung, SystemIndex Katalog

Error: (08/16/2013 08:07:05 AM) (Source: Windows Search Service) (User: )
Description: Die Leistungsüberwachung kann für den Gatherer-Dienst nicht initialisiert werden, da die Datenquellen nicht geladen sind oder das freigegebene Speicherobjekt nicht geöffnet werden konnte. Dies beeinträchtigt lediglich die Verfügbarkeit der Leistungsindikatoren. Starten Sie den Computer erneut.

Error: (08/06/2013 01:10:59 PM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\KARSTEN\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\LOW\CONTENT.IE5\O4FB52ZT\COMPGINC[1].GIF> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error: (08/06/2013 00:57:40 PM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\KARSTEN\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\LOW\CONTENT.IE5\82SNOHER\ADRETARGETING[1].GIF> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error: (08/06/2013 00:57:39 PM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\KARSTEN\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\LOW\CONTENT.IE5\82SNOHER\ADRETARGETING[1].GIF> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error: (08/06/2013 08:43:44 AM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\KARSTEN\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\LOW\CONTENT.IE5\82SNOHER\COOKIEMATCH[1].GIF> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error: (08/06/2013 08:41:29 AM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\KARSTEN\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\LOW\CONTENT.IE5\82SNOHER\COOKIEMATCH[1].GIF> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error: (08/06/2013 08:05:31 AM) (Source: Windows Search Service) (User: )
Description: Eintrag <C:\USERS\KARSTEN\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\LOW\CONTENT.IE5\LMK1NP2B\__UTM[1].GIF> in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext:  Anwendung, SystemIndex Katalog


Details:
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)


System errors:
=============
Error: (08/21/2013 04:42:21 PM) (Source: Print) (User: NT-AUTORITÄT)
Description: Der Druckspooler konnte den Drucker FreePDF nicht unter dem Namen FreePDF freigeben. Fehler: 2114. Der Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.

Error: (08/21/2013 04:42:21 PM) (Source: Print) (User: NT-AUTORITÄT)
Description: Der Druckspooler konnte den Drucker t@x PDF Converter nicht unter dem Namen t@x PDF Converter freigeben. Fehler: 2114. Der Drucker kann nicht von anderen Benutzern im Netzwerk verwendet werden.

Error: (08/18/2013 07:38:19 PM) (Source: Service Control Manager) (User: )
Description: Windows Mobile-basierte Geräteverbindung%%1053

Error: (08/18/2013 07:38:14 PM) (Source: Service Control Manager) (User: )
Description: 30000Windows Mobile-basierte Geräteverbindung

Error: (08/18/2013 07:38:13 PM) (Source: DCOM) (User: )
Description: 1053RapiMgr{ED081F25-6A77-4C89-B689-C6E15C582EC1}

Error: (08/17/2013 08:33:04 PM) (Source: Service Control Manager) (User: )
Description: 30000Windows Media Center-Empfängerdienst

Error: (08/17/2013 08:33:04 PM) (Source: DCOM) (User: )
Description: 1053ehRecvr-Service{F4396DC6-E851-4D3A-8D01-34E6949F3500}

Error: (08/17/2013 09:58:57 AM) (Source: Service Control Manager) (User: )
Description: Windows Media Player-Netzwerkfreigabedienst%%1053

Error: (08/17/2013 09:58:57 AM) (Source: Service Control Manager) (User: )
Description: 30000Windows Media Player-Netzwerkfreigabedienst

Error: (08/17/2013 09:58:25 AM) (Source: Service Control Manager) (User: )
Description: 30000Windows Media Center-Planerdienst


Microsoft Office Sessions:
=========================

==================== Memory info =========================== 

Percentage of memory in use: 52%
Total physical RAM: 2045.45 MB
Available physical RAM: 977.88 MB
Total Pagefile: 4331.96 MB
Available Pagefile: 2830.76 MB
Total Virtual: 2047.88 MB
Available Virtual: 1888.91 MB

==================== Drives ================================

Drive c: (BOOT) (Fixed) (Total:444.29 GB) (Free:115.52 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive d: (RECOVER) (Fixed) (Total:21.46 GB) (Free:10.97 GB) FAT32
Drive e: (tax2012) (CDROM) (Total:0.35 GB) (Free:0 GB) CDFS
Drive i: (VERA_STICK) (Removable) (Total:7.2 GB) (Free:7.16 GB) FAT32

==================== MBR & Partition Table ==================

==================== End Of Log ============================
         

3. Schritt Gmer wurde auch im abgesicherten Mode mit einer Fehlermeldung abgebrochen


4. Schritt
Anbei das Log file von AVIR nach dem Befall.

Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 21. August 2013  20:23


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : admin
Computername   : FOXEL01

Versionsinformationen:
BUILD.DAT      : 13.0.0.3885    54851 Bytes  01.08.2013 08:55:00
AVSCAN.EXE     : 13.6.0.1722   634936 Bytes  01.07.2013 21:04:28
AVSCANRC.DLL   : 13.6.0.1550    62520 Bytes  01.07.2013 21:04:28
LUKE.DLL       : 13.6.0.1550    65080 Bytes  01.07.2013 21:04:48
AVSCPLR.DLL    : 13.6.0.1712    92216 Bytes  01.07.2013 21:04:28
AVREG.DLL      : 13.6.0.1550   247864 Bytes  01.07.2013 21:04:27
avlode.dll     : 13.6.2.1704   449592 Bytes  01.07.2013 21:04:25
avlode.rdf     : 13.0.1.38      27062 Bytes  20.08.2013 13:00:07
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 06:11:50
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 05:29:03
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 18:10:41
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 11:17:41
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 05:57:54
VBASE005.VDF   : 7.11.91.177     2048 Bytes  23.07.2013 05:57:55
VBASE006.VDF   : 7.11.91.178     2048 Bytes  23.07.2013 05:57:55
VBASE007.VDF   : 7.11.91.179     2048 Bytes  23.07.2013 05:57:55
VBASE008.VDF   : 7.11.91.180     2048 Bytes  23.07.2013 05:57:55
VBASE009.VDF   : 7.11.91.181     2048 Bytes  23.07.2013 05:57:55
VBASE010.VDF   : 7.11.91.182     2048 Bytes  23.07.2013 05:57:55
VBASE011.VDF   : 7.11.91.183     2048 Bytes  23.07.2013 05:57:55
VBASE012.VDF   : 7.11.91.184     2048 Bytes  23.07.2013 05:57:55
VBASE013.VDF   : 7.11.92.32    156160 Bytes  24.07.2013 09:57:54
VBASE014.VDF   : 7.11.92.147   168960 Bytes  25.07.2013 09:57:54
VBASE015.VDF   : 7.11.93.93    419328 Bytes  28.07.2013 06:26:42
VBASE016.VDF   : 7.11.93.170  1403392 Bytes  29.07.2013 12:26:46
VBASE017.VDF   : 7.11.94.31    222208 Bytes  31.07.2013 17:24:41
VBASE018.VDF   : 7.11.94.141   273408 Bytes  03.08.2013 11:55:17
VBASE019.VDF   : 7.11.94.203   200192 Bytes  04.08.2013 12:26:58
VBASE020.VDF   : 7.11.95.8    1925632 Bytes  05.08.2013 20:41:52
VBASE021.VDF   : 7.11.95.81    203776 Bytes  06.08.2013 11:33:32
VBASE022.VDF   : 7.11.95.175   148480 Bytes  07.08.2013 21:04:17
VBASE023.VDF   : 7.11.95.248  1224192 Bytes  09.08.2013 12:49:12
VBASE024.VDF   : 7.11.96.43    861184 Bytes  10.08.2013 12:49:13
VBASE025.VDF   : 7.11.97.50   1084416 Bytes  19.08.2013 13:30:18
VBASE026.VDF   : 7.11.97.133   369664 Bytes  21.08.2013 14:37:52
VBASE027.VDF   : 7.11.97.134     2048 Bytes  21.08.2013 14:37:52
VBASE028.VDF   : 7.11.97.135     2048 Bytes  21.08.2013 14:37:52
VBASE029.VDF   : 7.11.97.136     2048 Bytes  21.08.2013 14:37:52
VBASE030.VDF   : 7.11.97.137     2048 Bytes  21.08.2013 14:37:52
VBASE031.VDF   : 7.11.97.158    49152 Bytes  21.08.2013 14:37:52
Engineversion  : 8.2.12.106
AEVDF.DLL      : 8.1.3.4       102774 Bytes  13.06.2013 19:16:48
AESCRIPT.DLL   : 8.1.4.142     512382 Bytes  16.08.2013 16:09:53
AESCN.DLL      : 8.1.10.4      131446 Bytes  05.04.2013 09:26:39
AESBX.DLL      : 8.2.16.22    1241464 Bytes  16.08.2013 16:09:54
AERDL.DLL      : 8.2.0.128     688504 Bytes  13.06.2013 19:16:48
AEPACK.DLL     : 8.3.2.24      749945 Bytes  20.06.2013 17:31:45
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  12.08.2013 12:49:16
AEHEUR.DLL     : 8.1.4.556    6115706 Bytes  16.08.2013 16:09:53
AEHELP.DLL     : 8.1.27.4      266617 Bytes  27.06.2013 18:16:35
AEGEN.DLL      : 8.1.7.12      442743 Bytes  12.08.2013 12:49:14
AEEXP.DLL      : 8.4.1.46      287095 Bytes  12.08.2013 12:49:18
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 13:05:20
AECORE.DLL     : 8.1.31.6      201081 Bytes  27.06.2013 18:16:35
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 15:15:21
AVWINLL.DLL    : 13.6.0.1550    23608 Bytes  01.07.2013 21:04:16
AVPREF.DLL     : 13.6.0.1550    48184 Bytes  01.07.2013 21:04:27
AVREP.DLL      : 13.6.0.1550   175672 Bytes  01.07.2013 21:04:27
AVARKT.DLL     : 13.6.0.1626   258104 Bytes  01.07.2013 21:04:18
AVEVTLOG.DLL   : 13.6.0.1550   164920 Bytes  01.07.2013 21:04:23
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  23.02.2013 14:05:30
AVSMTP.DLL     : 13.6.0.1550    59960 Bytes  01.07.2013 21:04:29
NETNT.DLL      : 13.6.0.1550    13368 Bytes  01.07.2013 21:04:48
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  23.02.2013 14:04:51
RCTEXT.DLL     : 13.6.0.1624    67128 Bytes  01.07.2013 21:04:17

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 21. August 2013  20:23

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashUtil32_11_8_800_94_ActiveX.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '178' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCU_Engine.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehsched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMonitor.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdSync.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCU_TrayIcon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'ODSBCApp.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Remote UI Service.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'mediaserver.exe' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVESched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCLServiceATL.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISSM.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVECapSvc.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'PVRService.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'qualitymanager.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SymcPCCULaunchSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSCore.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'GCS.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'servicecontroller.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'DQLWinService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'AlertService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '6086' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\ProgramData\4974913.js
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.480412
    [0] Archivtyp: RSRC
    --> C:\Program Files\Sony\Sony PC Companion\Drivers\AllSigned\x86x64\i386\WUDFUpdate_01007.dll
        [1] Archivtyp: RSRC
      --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2CCFFEA6-8825-42c7-A2A5-94678EFB925F}\amd64\WUDFUpdate_01007.dll
          [2] Archivtyp: RSRC
        --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2CCFFEA6-8825-42c7-A2A5-94678EFB925F}\i386\WUDFUpdate_01007.dll
            [3] Archivtyp: RSRC
          --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2CD1390C-A74E-434A-B652-73D3683B3BEF}\amd64\winusbcoinstaller2.dll
              [4] Archivtyp: RSRC
            --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2CD1390C-A74E-434A-B652-73D3683B3BEF}\amd64\WUDFUpdate_01009.dll
                [5] Archivtyp: RSRC
              --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2CD1390C-A74E-434A-B652-73D3683B3BEF}\i386\winusbcoinstaller2.dll
                  [6] Archivtyp: RSRC
                --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2CD1390C-A74E-434A-B652-73D3683B3BEF}\i386\WUDFUpdate_01009.dll
                    [7] Archivtyp: RSRC
                  --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2FC12C0B-6D73-4F66-8D2D-64E907627969}\amd64\winusbcoinstaller2.dll
                      [8] Archivtyp: RSRC
                    --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2FC12C0B-6D73-4F66-8D2D-64E907627969}\amd64\WUDFUpdate_01009.dll
                        [9] Archivtyp: RSRC
                      --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2FC12C0B-6D73-4F66-8D2D-64E907627969}\i386\winusbcoinstaller2.dll
                          [10] Archivtyp: RSRC
                        --> C:\Program Files\Sony\Sony PC Companion\Drivers\{2FC12C0B-6D73-4F66-8D2D-64E907627969}\i386\WUDFUpdate_01009.dll
                            [11] Archivtyp: RSRC
                          --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4804CEA3-DDE0-46A0-8430-54DFDE2C5EC0}\amd64\winusbcoinstaller2.dll
                              [12] Archivtyp: RSRC
                            --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4804CEA3-DDE0-46A0-8430-54DFDE2C5EC0}\amd64\WUDFUpdate_01009.dll
                                [13] Archivtyp: RSRC
                              --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4804CEA3-DDE0-46A0-8430-54DFDE2C5EC0}\i386\winusbcoinstaller2.dll
                                  [14] Archivtyp: RSRC
                                --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4804CEA3-DDE0-46A0-8430-54DFDE2C5EC0}\i386\WUDFUpdate_01009.dll
                                    [15] Archivtyp: RSRC
                                  --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4B11437A-A1BD-4786-A0A2-916CB6DE3153}\amd64\winusbcoinstaller2.dll
                                      [16] Archivtyp: RSRC
                                    --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4B11437A-A1BD-4786-A0A2-916CB6DE3153}\amd64\WUDFUpdate_01009.dll
                                        [17] Archivtyp: RSRC
                                      --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4B11437A-A1BD-4786-A0A2-916CB6DE3153}\i386\winusbcoinstaller2.dll
                                          [18] Archivtyp: RSRC
                                        --> C:\Program Files\Sony\Sony PC Companion\Drivers\{4B11437A-A1BD-4786-A0A2-916CB6DE3153}\i386\WUDFUpdate_01009.dll
                                            [19] Archivtyp: RSRC
                                          --> C:\Program Files\Sony\Sony PC Companion\Drivers\{5A2F2D1B-F67A-4754-88D7-6E6F20C68D85}\amd64\winusbcoinstaller2.dll
                                              [20] Archivtyp: RSRC
                                            --> C:\Program Files\Sony\Sony PC Companion\Drivers\{5A2F2D1B-F67A-4754-88D7-6E6F20C68D85}\amd64\WUDFUpdate_01009.dll
                                                [21] Archivtyp: RSRC
                                              --> C:\Program Files\Sony\Sony PC Companion\Drivers\{5A2F2D1B-F67A-4754-88D7-6E6F20C68D85}\i386\winusbcoinstaller2.dll
                                                  [22] Archivtyp: RSRC
                                                --> C:\Program Files\Sony\Sony PC Companion\Drivers\{5A2F2D1B-F67A-4754-88D7-6E6F20C68D85}\i386\WUDFUpdate_01009.dll
                                                    [23] Archivtyp: RSRC
                                                  --> C:\Program Files\Sony\Sony PC Companion\Drivers\{696E03A2-E631-4DAC-A8B3-4C19380CE316}\amd64\winusbcoinstaller2.dll
                                                      [24] Archivtyp: RSRC
                                                    --> C:\Program Files\Sony\Sony PC Companion\Drivers\{696E03A2-E631-4DAC-A8B3-4C19380CE316}\amd64\WUDFUpdate_01009.dll
                                                        [25] Archivtyp: RSRC
                                                      --> C:\Program Files\Sony\Sony PC Companion\Drivers\{696E03A2-E631-4DAC-A8B3-4C19380CE316}\i386\winusbcoinstaller2.dll
                                                          [26] Archivtyp: RSRC
                                                        --> C:\Program Files\Sony\Sony PC Companion\Drivers\{696E03A2-E631-4DAC-A8B3-4C19380CE316}\i386\WUDFUpdate_01009.dll
                                                            [27] Archivtyp: RSRC
                                                          --> C:\Program Files\Sony\Sony PC Companion\Drivers\{884EF9E6-97FC-41A1-9CD3-636DAAEA6035}\amd64\winusbcoinstaller2.dll
                                                              [28] Archivtyp: RSRC
                                                            --> C:\Program Files\Sony\Sony PC Companion\Drivers\{884EF9E6-97FC-41A1-9CD3-636DAAEA6035}\amd64\WUDFUpdate_01009.dll
                                                                [29] Archivtyp: RSRC
                                                              --> C:\Program Files\Sony\Sony PC Companion\Drivers\{884EF9E6-97FC-41A1-9CD3-636DAAEA6035}\i386\winusbcoinstaller2.dll
                                                                  [30] Archivtyp: RSRC
                                                                --> C:\Program Files\Sony\Sony PC Companion\Drivers\{884EF9E6-97FC-41A1-9CD3-636DAAEA6035}\i386\WUDFUpdate_01009.dll
                                                                    [31] Archivtyp: RSRC
                                                                  --> C:\Program Files\Sony\Sony PC Companion\Drivers\{D89CC0CF-6D2C-47B6-8D3C-A6413F0DC159}\amd64\winusbcoinstaller2.dll
                                                                      [32] Archivtyp: RSRC
                                                                    --> C:\Program Files\Sony\Sony PC Companion\Drivers\{D89CC0CF-6D2C-47B6-8D3C-A6413F0DC159}\amd64\WUDFUpdate_01009.dll
                                                                        [33] Archivtyp: RSRC
                                                                      --> C:\Program Files\Sony\Sony PC Companion\Drivers\{D89CC0CF-6D2C-47B6-8D3C-A6413F0DC159}\i386\winusbcoinstaller2.dll
                                                                          [34] Archivtyp: RSRC
                                                                        --> C:\Program Files\Sony\Sony PC Companion\Drivers\{D89CC0CF-6D2C-47B6-8D3C-A6413F0DC159}\i386\WUDFUpdate_01009.dll
                                                                            [35] Archivtyp: RSRC
                                                                          --> C:\Program Files\Sony\Sony PC Companion\Drivers\{EE975EE3-08EC-4949-9C38-3A637996A670}\amd64\winusbcoinstaller2.dll
                                                                              [36] Archivtyp: RSRC
                                                                            --> C:\Program Files\Sony\Sony PC Companion\Drivers\{EE975EE3-08EC-4949-9C38-3A637996A670}\amd64\WUDFUpdate_01009.dll
                                                                                [37] Archivtyp: RSRC
                                                                              --> C:\Program Files\Sony\Sony PC Companion\Drivers\{EE975EE3-08EC-4949-9C38-3A637996A670}\i386\winusbcoinstaller2.dll
                                                                                  [38] Archivtyp: RSRC
                                                                                --> C:\Program Files\Sony\Sony PC Companion\Drivers\{EE975EE3-08EC-4949-9C38-3A637996A670}\i386\WUDFUpdate_01009.dll
                                                                                    [39] Archivtyp: RSRC
                                                                                  --> C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\157C26E7-00000924.eml
                                                                                      [40] Archivtyp: MIME
                                                                                    --> Kaufvertrag Gruenewald Baby-Walz.zip
                                                                                        [41] Archivtyp: ZIP
                                                                                      --> Mahnung 30.04.2013 Kaufvertrag.zip
                                                                                          [42] Archivtyp: ZIP
                                                                                        --> Mahnung 30.04.2013 Kaufvertrag.com
                                                                                            [FUND]      Ist das Trojanische Pferd TR/Kazy.169263.1
                                                                                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\157C26E7-00000924.eml
  [FUND]      Ist das Trojanische Pferd TR/Kazy.169263.1
                                                                                  --> C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\29E74AE5-00000985.eml
                                                                                      [40] Archivtyp: MIME
                                                                                    --> Mahnung Gruenewald vom 17.06.2013 Rechtsanwalt Staples Online Store GmbH.zip
                                                                                        [41] Archivtyp: ZIP
                                                                                      --> Aufforderung fur Gruenewald Anwaltschaft Staples Online Store GmbH 17.06.2013.zip
                                                                                          [42] Archivtyp: ZIP
                                                                                        --> Gruenewald Aufforderung 17.06.2013 Inkasso Staples Online Store GmbH.com
                                                                                            [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.akt
                                                                                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\29E74AE5-00000985.eml
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.akt
                                                                                  --> C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\37817495-0000097F.eml
                                                                                      [40] Archivtyp: MIME
                                                                                    --> Kostenrechnung fur Gruenewald Anwaltschaft Itunes-apple GmbH Online.zip
                                                                                        [41] Archivtyp: ZIP
                                                                                      --> Aufforderung Gruenewald Anwaltschaft Itunes-apple GmbH Online.zip
                                                                                          [42] Archivtyp: ZIP
                                                                                        --> Rechnung Gruenewald Anwaltschaft Itunes-apple GmbH Online.com
                                                                                            [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.alw
                                                                                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\37817495-0000097F.eml
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.alw
                                                                                  --> C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\37B34B0B-00000979.eml
                                                                                      [40] Archivtyp: MIME
                                                                                    --> Rechnung fur Gruenewald Inkasso Itunes-apple GmbH Online.zip
                                                                                        [41] Archivtyp: ZIP
                                                                                      --> Kostenrechnung Gruenewald Inkasso Itunes-apple GmbH Online.zip
                                                                                          [42] Archivtyp: ZIP
                                                                                        --> Mahnung Gruenewald Rechtsanwalt Itunes-apple GmbH Online.com
                                                                                            [FUND]      Ist das Trojanische Pferd TR/Injector.VG
                                                                                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\37B34B0B-00000979.eml
  [FUND]      Ist das Trojanische Pferd TR/Injector.VG
                                                                                  --> C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\401A1F32-00000973.eml
                                                                                      [40] Archivtyp: MIME
                                                                                    --> Pixmania Gift Voucher.zip
                                                                                        [41] Archivtyp: ZIP
                                                                                      --> Pixmania Gift Voucher.scr
                                                                                          [FUND]      Ist das Trojanische Pferd TR/Injector.LR.2
                                                                                          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\401A1F32-00000973.eml
  [FUND]      Ist das Trojanische Pferd TR/Injector.LR.2
                                                                                  --> C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\5D2B0D83-00000922.eml
                                                                                      [40] Archivtyp: MIME
                                                                                    --> Gruenewald Dritte Mahnung  www8.hp.com/de/de/ 382365751.zip
                                                                                        [41] Archivtyp: ZIP
                                                                                      --> Rechnung.scr
                                                                                          [FUND]      Ist das Trojanische Pferd TR/Matsnu.EB.142
                                                                                          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\5D2B0D83-00000922.eml
  [FUND]      Ist das Trojanische Pferd TR/Matsnu.EB.142
                                                                                  --> C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\0A0A1281-00000EB4.eml
                                                                                      [40] Archivtyp: MIME
                                                                                    --> Rechnung.zip
                                                                                        [41] Archivtyp: ZIP
                                                                                      --> Rechnung.scr
                                                                                          [FUND]      Ist das Trojanische Pferd TR/Spy.Abvier.A
                                                                                          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\0A0A1281-00000EB4.eml
  [FUND]      Ist das Trojanische Pferd TR/Spy.Abvier.A
                                                                                  --> C:\Users\Karsten\AppData\Local\Temp\jar_cache7009591254123997645.tmp
                                                                                      [40] Archivtyp: ZIP
                                                                                    --> oracle/format.class
                                                                                        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.3818
                                                                                        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Karsten\AppData\Local\Temp\jar_cache7009591254123997645.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.3818
C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen2
Beginne mit der Suche in 'D:\' <RECOVER>

Beginne mit der Desinfektion:
C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57c53be1.qua' verschoben!
C:\Users\Karsten\AppData\Local\Temp\jar_cache7009591254123997645.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.3818
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fab1440.qua' verschoben!
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Inbox\0A0A1281-00000EB4.eml
  [FUND]      Ist das Trojanische Pferd TR/Spy.Abvier.A
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d364e88.qua' verschoben!
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\5D2B0D83-00000922.eml
  [FUND]      Ist das Trojanische Pferd TR/Matsnu.EB.142
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7b030149.qua' verschoben!
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\401A1F32-00000973.eml
  [FUND]      Ist das Trojanische Pferd TR/Injector.LR.2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3e862c9b.qua' verschoben!
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\37B34B0B-00000979.eml
  [FUND]      Ist das Trojanische Pferd TR/Injector.VG
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '418c1e03.qua' verschoben!
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\37817495-0000097F.eml
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.alw
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d2e3249.qua' verschoben!
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\29E74AE5-00000985.eml
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.akt
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '71217217.qua' verschoben!
C:\Users\Karsten\AppData\Local\Microsoft\Windows Mail\Local Folders\Deleted Items\157C26E7-00000924.eml
  [FUND]      Ist das Trojanische Pferd TR/Kazy.169263.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c6d5d56.qua' verschoben!
C:\ProgramData\4974913.js
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.480412
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '450566c0.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 22. August 2013  06:36
Benötigte Zeit:  3:35:04 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  43617 Verzeichnisse wurden überprüft
 1490634 Dateien wurden geprüft
     18 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1490616 Dateien ohne Befall
  27476 Archive wurden durchsucht
      8 Warnungen
     10 Hinweise
 986251 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Ist es zwingend erforderlich den Rechner neu aufzusetzen oder bestehen Chancen den Virus rückstandsfrei zu entfernen.

Kann man davon ausgehen, daß die 3 Benutzer die nicht blockiert sind "sicher" im Netz unterwegs sind?

Vorab vielen Dank für Eure Hilfe

Gruß
Karsten

Alt 24.08.2013, 14:32   #2
aharonov
/// TB-Ausbilder
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Karsten,

schauen wir mal..
lass bitte im Admin-Konto Combofix laufen:


Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________

__________________

Alt 24.08.2013, 15:35   #3
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Leo,

amnbei das Log des Combofix


Code:
ATTFilter
omboFix 13-08-22.01 - admin 24.08.2013  15:53:54.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2045.1010 [GMT 2:00]
ausgeführt von:: c:\users\Karsten\Desktop\ComboFix.exe
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\2433f433
c:\programdata\4974913.pad
c:\programdata\hpe42AA.dll
c:\users\Karsten\Documents\~WRL0004.tmp
c:\users\Karsten\Documents\~WRL2542.tmp
c:\users\Karsten\Documents\~WRL2750.tmp
c:\users\Karsten\Documents\~WRL3966.tmp
c:\users\Vera\AppData\Roaming\2433f433
c:\users\Vera\Documents\~WRL0005.tmp
c:\users\Vera\Documents\~WRL0694.tmp
c:\users\Vera\Documents\~WRL2637.tmp
c:\users\Vera\Documents\~WRL3218.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-07-24 bis 2013-08-24  ))))))))))))))))))))))))))))))
.
.
2013-08-24 14:12 . 2013-08-24 14:12	--------	d-----w-	c:\users\Vera_Luis\AppData\Local\temp
2013-08-24 14:11 . 2013-08-24 14:11	--------	d-----w-	c:\users\Vera\AppData\Local\temp
2013-08-24 14:11 . 2013-08-24 14:11	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-08-24 14:10 . 2013-08-24 14:17	--------	d-----w-	c:\users\admin\AppData\Local\temp
2013-08-24 14:10 . 2013-08-24 14:10	--------	d-----w-	c:\users\IUSR_NMPR\AppData\Local\temp
2013-08-24 14:10 . 2013-08-24 14:10	--------	d-----w-	c:\users\Daniela\AppData\Local\temp
2013-08-24 11:08 . 2013-08-24 11:08	--------	d-----w-	C:\FRST
2013-08-17 18:41 . 2013-08-17 18:41	--------	d-----w-	c:\users\Karsten\restore
2013-08-17 18:34 . 2013-08-18 21:34	--------	d-----w-	c:\programdata\tmp
2013-08-17 18:34 . 2013-08-18 11:28	--------	d-----w-	c:\programdata\hps
2013-08-17 11:01 . 2013-08-17 11:01	--------	d-----w-	c:\program files\CEWE COLOR
2013-08-16 06:08 . 2013-08-16 06:12	--------	d-----w-	c:\windows\system32\MRT
2013-08-16 06:00 . 2013-07-25 02:42	757400	----a-w-	c:\program files\Internet Explorer\iexplore.exe
2013-08-16 06:00 . 2013-07-25 02:32	1800704	----a-w-	c:\windows\system32\jscript9.dll
2013-08-16 06:00 . 2013-07-25 02:25	104448	----a-w-	c:\program files\Internet Explorer\jsdebuggeride.dll
2013-08-16 06:00 . 2013-07-25 02:25	678912	----a-w-	c:\program files\Internet Explorer\iedvtool.dll
2013-08-16 06:00 . 2013-07-25 02:25	387584	----a-w-	c:\program files\Internet Explorer\jsdbgui.dll
2013-08-16 06:00 . 2013-07-25 02:25	1427968	----a-w-	c:\windows\system32\inetcpl.cpl
2013-08-15 16:18 . 2013-06-15 13:22	15872	----a-w-	c:\windows\system32\icaapi.dll
2013-08-15 16:18 . 2013-06-15 11:23	24064	----a-w-	c:\windows\system32\drivers\tssecsrv.sys
2013-08-15 16:18 . 2013-07-05 04:53	905664	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-08-15 16:17 . 2013-07-17 19:41	2048	----a-w-	c:\windows\system32\tzres.dll
2013-08-15 16:17 . 2013-07-10 09:47	783360	----a-w-	c:\windows\system32\rpcrt4.dll
2013-08-15 16:17 . 2013-07-08 04:55	3603904	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-08-15 16:17 . 2013-07-08 04:55	3551680	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-08-15 16:17 . 2013-07-09 12:10	1205168	----a-w-	c:\windows\system32\ntdll.dll
2013-08-15 16:17 . 2013-07-08 04:20	172544	----a-w-	c:\windows\system32\wintrust.dll
2013-08-15 16:17 . 2013-07-08 04:16	98304	----a-w-	c:\windows\system32\cryptnet.dll
2013-08-15 16:17 . 2013-07-08 04:16	133120	----a-w-	c:\windows\system32\cryptsvc.dll
2013-08-15 16:17 . 2013-07-08 04:16	992768	----a-w-	c:\windows\system32\crypt32.dll
2013-08-04 10:49 . 2013-08-04 10:49	--------	d-----w-	c:\program files\Common Files\Windows Live
2013-08-04 07:22 . 2013-08-04 07:22	--------	d-----w-	c:\program files\iPod
2013-08-04 07:22 . 2013-08-04 07:23	--------	d-----w-	c:\programdata\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-04 07:22 . 2013-08-04 07:23	--------	d-----w-	c:\program files\iTunes
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin5.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin5.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin4.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin4.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin3.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin2.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin3.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin2.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin.dll
2013-08-04 07:17 . 2013-08-04 07:17	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin.dll
2013-08-04 07:16 . 2013-08-04 07:17	--------	d-----w-	c:\program files\QuickTime
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-08-21 15:03 . 2012-04-01 09:17	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-08-21 15:03 . 2011-11-26 13:56	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-04 01:50 . 2013-07-11 16:42	2049024	----a-w-	c:\windows\system32\win32k.sys
2013-06-01 04:06 . 2013-07-11 16:42	505344	----a-w-	c:\windows\system32\qedit.dll
2011-06-24 17:10 . 2011-06-19 08:18	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-27 39408]
"Sony PC Companion"="c:\program files\Sony\Sony PC Companion\PCCompanion.exe" [2013-05-29 449248]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVBroadcast"="c:\program files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe" [2007-08-07 797696]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-08 178712]
"NMSSupport"="c:\program files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe" [2007-06-27 439512]
"CCUTRAYICON"="c:\program files\Intel\IntelDH\CCU\CCU_TrayIcon.exe" [2007-06-27 215256]
"RtHDVCpl"="RtHDVCpl.exe" [2007-11-14 4706304]
"Skytel"="Skytel.exe" [2007-10-11 1826816]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-12-14 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-14 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-14 81920]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"VMonitorVMUVC"="c:\program files\Vimicro\VMUVC\VMonitor.exe" [2008-03-26 135168]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-07-01 345144]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2013-05-01 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-04-21 59720]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2013-05-31 152392]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
t@x aktuell.lnk - c:\program files\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe [2013-6-9 536176]
WISO Mein Steuer-Sparbuch heute.lnk - c:\program files\Buhl finance\wiso2013\mshaktuell.exe [2013-6-1 1386136]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Find Fast.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Find Fast.lnk
backup=c:\windows\pss\Microsoft Find Fast.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office Shortcut Bar.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office Shortcut Bar.lnk
backup=c:\windows\pss\Microsoft Office Shortcut Bar.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^tax aktuell.lnk]
path=c:\users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tax aktuell.lnk
backup=c:\windows\pss\tax aktuell.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-29 19:59	937920	----a-r-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-08-31 01:57	40368	----a-w-	c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2013-04-21 19:43	59720	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
2007-02-15 13:29	622592	------w-	c:\program files\Brother\Brmfcmon\BrMfcWnd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
2008-12-24 09:26	114688	------w-	c:\program files\Brother\ControlCenter3\BrCtrCen.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Whiz]
2013-01-25 11:37	3534704	----a-w-	c:\program files\Driver Whiz\Driver Whiz\DriverWhiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
2009-10-27 09:40	220160	----a-w-	c:\program files\Google\Google Desktop Search\GoogleDesktop.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-12-12 07:31	1840424	----a-w-	c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2013-05-31 09:56	152392	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-12-02 14:29	2221352	----a-w-	c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2013-05-01 01:59	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
2009-11-20 09:17	434176	----a-w-	c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-10-27 22:31	39408	----a-w-	c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVEService]
2007-10-19 16:42	155648	----a-w-	c:\program files\HomeCinema\TV Enhance\TVEService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsWelcomeCenter]
2009-04-11 06:28	2153472	----a-w-	c:\windows\System32\oobefldr.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
S3 3xHybrid;CTX SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2011-11-13 1006816]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-07-31 15:59	1173456	----a-w-	c:\program files\Google\Chrome\Application\28.0.1500.95\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-08-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 15:03]
.
2013-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-20 20:29]
.
2013-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-20 20:29]
.
2013-08-24 c:\windows\Tasks\User_Feed_Synchronization-{C876FE5A-1437-4CD4-9957-1A2CAE695F35}.job
- c:\windows\system32\msfeedssync.exe [2011-05-08 19:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2536373
mSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office10\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office10\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\lra50n2l.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-toolbar_eula_launcher - c:\program files\GoogleEULA\EULALauncher.exe
HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-08-24 16:17
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-08-24  16:19:41
ComboFix-quarantined-files.txt  2013-08-24 14:19
.
Vor Suchlauf: 17 Verzeichnis(se), 149.908.402.176 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 152.024.252.416 Bytes frei
.
- - End Of File - - 314B2B0D42E23DE91C1D3B76CA4172F1
671B81004FDD1588FA9ED1331C9CECA9
         
__________________

Alt 24.08.2013, 15:40   #4
aharonov
/// TB-Ausbilder
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Ist das eine Benutzerkonto immer noch gesperrt?
__________________
cheers,
Leo

Alt 24.08.2013, 15:46   #5
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Nein, das Konto konnte gestartet werden.
Gab nur eine Windows-Fehlermeldung

Fehler beim Laden von C:\User\.....\3194794.dll
Das angegebene Modul konnte nicht geladen werden.

Gruß
Karsten


Alt 24.08.2013, 15:52   #6
aharonov
/// TB-Ausbilder
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Ja das ist nochc ein Überrest. Dann geh jetzt bitte in das ehemals gesperrte Konto und mach dort einen neuen FRST-Scan:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________
--> Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert

Alt 24.08.2013, 16:03   #7
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Leo,

anbei die frst.txt eine addition.txt wurde nicht erzeugt.



FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 24-08-2013 01
Ran by Vera (ATTENTION: The logged in user is not administrator) on 24-08-2013 16:57:59
Running from C:\Users\Vera\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(ODSoft multimedia) C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(Intel(R) Corporation) C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(ScanSoft, Inc.) C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
(ArcSoft Inc.) C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\Windows\WindowsMobile\wmdSync.exe
(Vimicro Corporation) C:\Program Files\vimicro\VMUVC\VMonitor.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Google Inc.) C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe
(ArcSoft Inc.) C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office10\Office14\ONENOTEM.EXE
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Intel(R) Corporation) C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [TVBroadcast] - C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe [797696 2007-08-08] (ODSoft multimedia)
HKLM\...\Run: [IAAnotif] - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [178712 2007-10-09] (Intel Corporation)
HKLM\...\Run: [NMSSupport] - C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe [439512 2007-06-27] (Intel Corporation)
HKLM\...\Run: [CCUTRAYICON] - C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe [215256 2007-06-27] (Intel(R) Corporation)
HKLM\...\Run: [RtHDVCpl] - C:\Windows\RtHDVCpl.exe [4706304 2007-11-14] (Realtek Semiconductor)
HKLM\...\Run: [Skytel] - C:\Windows\Skytel.exe [1826816 2007-10-11] (Realtek Semiconductor Corp.)
HKLM\...\Run: [NvSvc] - C:\Windows\system32\nvsvc.dll [86016 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [8530464 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] - C:\Windows\system32\NvMcTray.dll [81920 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [SSBkgdUpdate] - C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [155648 2003-10-14] (Scansoft, Inc.)
HKLM\...\Run: [PaperPort PTD] - C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe [57393 2005-03-17] (ScanSoft, Inc.)
HKLM\...\Run: [IndexSearch] - C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe [40960 2005-03-17] (ScanSoft, Inc.)
HKLM\...\Run: [ArcSoft Connection Service] - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe [207424 2010-10-27] (ArcSoft Inc.)
HKLM\...\Run: [FreePDF Assistant] - C:\Program Files\FreePDF_XP\fpassist.exe [385024 2009-09-05] (shbox.de)
HKLM\...\Run: [Windows Mobile-based device management] - C:\Windows\WindowsMobile\wmdSync.exe [215552 2006-11-02] (Microsoft Corporation)
HKLM\...\Run: [VMonitorVMUVC] - C:\Program Files\Vimicro\VMUVC\VMonitor.exe [135168 2008-03-26] (Vimicro Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-07-01] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-05-31] (Apple Inc.)
HKCU\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [2153472 2009-04-11] (Microsoft Corporation)
HKCU\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2009-10-28] (Google Inc.)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [WMPNSCFG] - C:\Program Files\Windows Media Player\WMPNSCFG.exe [202240 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.exe [x] <===== ATTENTION
HKCU\...\Command Processor: "C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.exe" <======= ATTENTION
MountPoints2: {bcfba9c6-c316-11de-a5f6-806e6f6e6963} - E:\Autorun.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\t@x aktuell.lnk
ShortcutTarget: t@x aktuell.lnk -> C:\Program Files\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk
ShortcutTarget: WISO Mein Steuer-Sparbuch heute.lnk -> C:\Program Files\Buhl finance\wiso2013\mshaktuell.exe ()
Startup: C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office10\Office14\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget: runctf.lnk -> C:\Users\Vera\3194794.dll (No File)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2536373
BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL (ArcSoft, Inc.)
BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office10\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll (Google Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU -Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU -No Name - {E36DF325-3F4B-476F-8F89-123BC5D51A30} -  No File
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: ipp - No CLSID Value - 
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Handler: msdaipp - No CLSID Value - 
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Vera\AppData\Roaming\Mozilla\Firefox\Profiles\y3wr0dwu.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~3\Office10\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~3\Office10\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=6.0.11.3088 - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprjplug;version=1.0.2.3146 - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpjplug;version=6.0.11.3006 - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=1.1.11 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF Plugin: @videolan.org/vlc,version=2.0.1 - C:\Program Files\VideoLAN\VLC_2_0_1\npvlc.dll (VideoLAN)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: No Name - C:\Users\Vera\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
FF Extension: Microsoft .NET Framework Assistant - C:\Users\Vera\AppData\Roaming\Mozilla\Firefox\Profiles\y3wr0dwu.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF Extension: Default - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] C:\Program Files\Real\RealPlayer\browserrecord
FF Extension: RealPlayer Browser Record Plugin - C:\Program Files\Real\RealPlayer\browserrecord
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{B728AB94-9BC7-49b7-B76A-422BB31B2FD0}] C:\Program Files\ArcSoft\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox
FF Extension: Internet Video Downloader - C:\Program Files\ArcSoft\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox

========================== Services (Whitelisted) =================

R2 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
R2 AlertService; C:\Program Files\Intel\IntelDH\CCU\AlertService.exe [223448 2007-06-27] (Intel(R) Corporation)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG)
R2 bgsvcgen; C:\Windows\System32\bgsvcgen.exe [145504 2007-06-15] (B.H.A Corporation)
R2 Brother XP spl Service; C:\Windows\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
S3 DHTRACE; C:\Program Files\Common Files\Intel\IntelDH\bin\DHTraceController.exe [39640 2007-06-27] (Intel(R) Corporation)
R2 DQLWinService; C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [208896 2007-02-12] ()
S3 FirebirdServerMAGIXInstance; C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [1527900 2005-11-17] (MAGIX®)
R2 GnabService; c:\program files\common files\gnab\service\servicecontroller.exe [36864 2007-04-13] (Empolis GmbH)
S3 GoogleDesktopManager; C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe [69120 2009-10-27] (Google)
R2 iphlpsvc; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 ISSM; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe [59096 2007-06-27] (Intel(R) Corporation)
R2 lmhosts; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 M1 Server; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe [268504 2007-06-27] ()
R2 MCLServiceATL; C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe [157912 2007-06-27] (Intel(R) Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 NMSCore; C:\Program Files\Common Files\Intel\IntelDH\NMS\NMSCore\NMSCore.exe [317656 2007-06-27] (Intel(R) Corporation)
R2 Norton PC Checkup Application Launcher; C:\Program Files\Norton PC Checkup 3.0\SymcPCCULaunchSvc.exe [132056 2012-07-17] (Symantec Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 OMSI download service; C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [90112 2009-04-30] ()
R2 QualityManager; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\qualitymanager.exe [272600 2007-06-27] (Intel(R) Corporation)
R2 Remote UI Service; C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe [446680 2007-06-27] (Intel(R) Corporation)
R2 RichVideo; C:\Program Files\CyberLink\Shared Files\RichVideo.exe [272024 2007-01-09] ()
S3 Sony PC Companion; C:\Program Files\Sony\Sony PC Companion\PCCService.exe [155824 2013-02-04] (Avanquest Software)
R2 srvcPVR; C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [1681408 2007-08-16] (Buhl Data Service GmbH)
R2 TVECapSvc; C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVECapSvc.exe [290909 2007-10-19] ()
R2 TVESched; C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVESched.exe [114779 2007-10-19] ()
R2 x10nets; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [20480 2001-11-12] (X10)

==================== Drivers (Whitelisted) ====================

R3 3xHybrid; C:\Windows\System32\DRIVERS\3xHybrid.sys [1006816 2011-11-13] (NXP Semiconductors Germany GmbH)
R3 Afc; C:\Windows\System32\drivers\Afc.sys [11776 2005-02-23] (Arcsoft, Inc.)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-05] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-05] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-05] (Avira Operations GmbH & Co. KG)
R0 CLFS; C:\Windows\System32\CLFS.sys [245736 2009-04-11] (Microsoft Corporation)
S3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [45568 2006-11-02] (VIA Technologies, Inc.              )
R3 IntelDH; C:\Windows\System32\Drivers\IntelDH.sys [5632 2007-10-15] (Intel Corporation)
R3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [554496 2007-09-21] (Ralink Technology Corp.)
R2 nmsunidr; C:\Windows\System32\DRIVERS\nmsunidr.sys [5376 2007-02-18] (Gteko Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-23] (Avira GmbH)
S3 TSHWMDTCP; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.sys [14552 2007-06-27] ()
R3 VMUVC; C:\Windows\System32\Drivers\VMUVC.sys [250240 2008-06-16] (Vimicro Corporation)
R3 vvftUVC; C:\Windows\System32\drivers\vvftUVC.sys [476160 2008-06-16] (Vimicro Corporation)
R3 X10Hid; C:\Windows\System32\Drivers\x10hid.sys [13976 2006-11-17] (X10 Wireless Technology, Inc.)
R3 XUIF; C:\Windows\System32\Drivers\x10ufx2.sys [27416 2006-11-30] (X10 Wireless Technology, Inc.)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\C:\Users\admin\AppData\Local\Temp\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-24 16:19 - 2013-08-24 16:19 - 00015957 _____ C:\ComboFix.txt
2013-08-24 15:48 - 2013-08-24 16:19 - 00000000 ____D C:\ComboFix
2013-08-24 15:48 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-08-24 15:48 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-08-24 15:48 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-08-24 15:47 - 2013-08-24 16:19 - 00000000 ____D C:\Qoobox
2013-08-24 15:46 - 2013-08-24 16:18 - 00000000 ____D C:\Windows\erdnt
2013-08-24 13:08 - 2013-08-24 13:08 - 00000000 ____D C:\FRST
2013-08-21 16:40 - 2013-08-21 16:40 - 00163175 _____ C:\Users\Vera\AppData\Local\2433f433
2013-08-17 20:34 - 2013-08-18 23:34 - 00000000 ____D C:\ProgramData\tmp
2013-08-17 20:34 - 2013-08-18 13:28 - 00000000 ____D C:\ProgramData\hps
2013-08-17 13:05 - 2013-08-17 13:05 - 00001112 _____ C:\Users\Public\Desktop\Mein CEWE FOTOBUCH.lnk
2013-08-17 13:05 - 2013-08-17 13:05 - 00001092 _____ C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk
2013-08-17 13:01 - 2013-08-17 13:01 - 00000000 ____D C:\Program Files\CEWE COLOR
2013-08-16 08:08 - 2013-08-16 08:12 - 00000000 ____D C:\Windows\system32\MRT
2013-08-16 08:01 - 2013-07-25 04:26 - 01129472 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-08-16 08:01 - 2013-07-25 04:24 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00717824 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00607744 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00420864 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00142848 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-08-16 08:01 - 2013-07-25 04:22 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-08-16 08:01 - 2013-07-25 04:22 - 00176640 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-08-16 08:01 - 2013-07-25 04:22 - 00073216 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-08-16 08:00 - 2013-07-25 04:40 - 12334080 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-08-16 08:00 - 2013-07-25 04:32 - 01800704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-08-16 08:00 - 2013-07-25 04:30 - 09738752 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-08-16 08:00 - 2013-07-25 04:26 - 01104384 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-08-16 08:00 - 2013-07-25 04:25 - 01427968 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-08-16 08:00 - 2013-07-25 04:24 - 00231936 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-08-16 08:00 - 2013-07-25 04:23 - 01796096 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-08-15 18:18 - 2013-07-05 06:53 - 00905664 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-08-15 18:18 - 2013-06-15 15:22 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\icaapi.dll
2013-08-15 18:18 - 2013-06-15 13:23 - 00024064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tssecsrv.sys
2013-08-15 18:17 - 2013-07-17 21:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-08-15 18:17 - 2013-07-10 11:47 - 00783360 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2013-08-15 18:17 - 2013-07-09 14:10 - 01205168 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-08-15 18:17 - 2013-07-08 06:55 - 03603904 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-08-15 18:17 - 2013-07-08 06:55 - 03551680 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-08-15 18:17 - 2013-07-08 06:20 - 00172544 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00992768 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00133120 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2013-08-06 08:01 - 2013-08-06 08:01 - 00002120 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-08-04 12:49 - 2013-08-04 12:49 - 00000000 ____D C:\Program Files\Common Files\Windows Live
2013-08-04 09:23 - 2013-08-04 09:23 - 00001711 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-08-04 09:22 - 2013-08-04 09:23 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-04 09:22 - 2013-08-04 09:23 - 00000000 ____D C:\Program Files\iTunes
2013-08-04 09:22 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iPod
2013-08-04 09:17 - 2013-08-04 09:17 - 00001773 _____ C:\Users\Public\Desktop\QuickTime Player.lnk
2013-08-04 09:16 - 2013-08-04 09:17 - 00000000 ____D C:\Program Files\QuickTime

==================== One Month Modified Files and Folders =======

2013-08-24 16:57 - 2013-08-24 16:57 - 01070693 _____ (Farbar) C:\Users\Vera\Desktop\FRST.exe
2013-08-24 16:55 - 2009-11-14 09:09 - 00000430 ____H C:\Windows\Tasks\User_Feed_Synchronization-{C876FE5A-1437-4CD4-9957-1A2CAE695F35}.job
2013-08-24 16:42 - 2010-01-20 22:29 - 00001092 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-08-24 16:36 - 2009-10-27 11:40 - 01191034 _____ C:\Windows\WindowsUpdate.log
2013-08-24 16:32 - 2006-11-02 14:37 - 00000000 ___RD C:\Users\Public\Recorded TV
2013-08-24 16:30 - 2007-10-10 13:56 - 00201406 _____ C:\Windows\PFRO.log
2013-08-24 16:30 - 2006-11-02 15:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-24 16:30 - 2006-11-02 14:47 - 00003344 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-24 16:30 - 2006-11-02 14:47 - 00003344 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-24 16:29 - 2006-11-02 15:01 - 00032530 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-08-24 16:19 - 2013-08-24 16:19 - 00015957 _____ C:\ComboFix.txt
2013-08-24 16:19 - 2013-08-24 15:48 - 00000000 ____D C:\ComboFix
2013-08-24 16:19 - 2013-08-24 15:47 - 00000000 ____D C:\Qoobox
2013-08-24 16:19 - 2006-11-02 13:18 - 00000000 __RHD C:\Users\Default
2013-08-24 16:19 - 2006-11-02 13:18 - 00000000 ___RD C:\Users\Public
2013-08-24 16:18 - 2013-08-24 15:46 - 00000000 ____D C:\Windows\erdnt
2013-08-24 16:17 - 2006-11-02 12:23 - 00000215 _____ C:\Windows\system.ini
2013-08-24 16:02 - 2013-01-13 13:27 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-24 15:59 - 2010-01-20 22:29 - 00001096 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-08-24 15:59 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-24 13:44 - 2006-11-02 12:33 - 01565742 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-24 13:08 - 2013-08-24 13:08 - 00000000 ____D C:\FRST
2013-08-24 13:06 - 2009-10-27 23:58 - 00000000 ____D C:\Users\admin
2013-08-21 17:03 - 2012-04-01 11:17 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-08-21 17:03 - 2011-11-26 15:56 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-21 16:40 - 2013-08-21 16:40 - 00163175 _____ C:\Users\Vera\AppData\Local\2433f433
2013-08-18 23:34 - 2013-08-17 20:34 - 00000000 ____D C:\ProgramData\tmp
2013-08-18 13:28 - 2013-08-17 20:34 - 00000000 ____D C:\ProgramData\hps
2013-08-17 13:05 - 2013-08-17 13:05 - 00001112 _____ C:\Users\Public\Desktop\Mein CEWE FOTOBUCH.lnk
2013-08-17 13:05 - 2013-08-17 13:05 - 00001092 _____ C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk
2013-08-17 13:01 - 2013-08-17 13:01 - 00000000 ____D C:\Program Files\CEWE COLOR
2013-08-17 10:36 - 2010-02-04 08:22 - 00008400 _____ C:\fpRedmon.log
2013-08-16 08:49 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\rescache
2013-08-16 08:27 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\system32\de-DE
2013-08-16 08:12 - 2013-08-16 08:08 - 00000000 ____D C:\Windows\system32\MRT
2013-08-16 08:08 - 2006-11-02 12:24 - 75778376 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-08-16 08:06 - 2007-10-10 12:37 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-08-13 09:41 - 2006-11-02 14:52 - 00209168 _____ C:\Windows\setupact.log
2013-08-06 08:01 - 2013-08-06 08:01 - 00002120 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-08-06 08:01 - 2009-10-27 11:40 - 00000000 ____D C:\Program Files\Google
2013-08-04 12:49 - 2013-08-04 12:49 - 00000000 ____D C:\Program Files\Common Files\Windows Live
2013-08-04 09:23 - 2013-08-04 09:23 - 00001711 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-08-04 09:23 - 2013-08-04 09:22 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-04 09:23 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iTunes
2013-08-04 09:22 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iPod
2013-08-04 09:22 - 2010-02-20 16:07 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-08-04 09:17 - 2013-08-04 09:17 - 00001773 _____ C:\Users\Public\Desktop\QuickTime Player.lnk
2013-08-04 09:17 - 2013-08-04 09:16 - 00000000 ____D C:\Program Files\QuickTime
2013-07-31 18:02 - 2012-12-08 16:03 - 00002018 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2013-07-31 07:35 - 2007-10-10 13:06 - 00000000 ____D C:\ProgramData\Adobe
2013-07-25 04:40 - 2013-08-16 08:00 - 12334080 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-25 04:32 - 2013-08-16 08:00 - 01800704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-07-25 04:30 - 2013-08-16 08:00 - 09738752 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-25 04:26 - 2013-08-16 08:01 - 01129472 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-25 04:26 - 2013-08-16 08:00 - 01104384 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-25 04:25 - 2013-08-16 08:00 - 01427968 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-07-25 04:24 - 2013-08-16 08:01 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-25 04:24 - 2013-08-16 08:00 - 00231936 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00717824 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00607744 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00420864 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-07-25 04:23 - 2013-08-16 08:01 - 00142848 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-07-25 04:23 - 2013-08-16 08:00 - 01796096 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-25 04:22 - 2013-08-16 08:01 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-25 04:22 - 2013-08-16 08:01 - 00176640 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-25 04:22 - 2013-08-16 08:01 - 00073216 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll

Files to move or delete:
====================
C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== End Of Log ============================
         
--- --- ---



Gruß
Karsten

Alt 24.08.2013, 16:10   #8
aharonov
/// TB-Ausbilder
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Karsten,

dann so weiter:


Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
2013-08-21 16:40 - 2013-08-21 16:40 - 00163175 _____ C:\Users\Vera\AppData\Local\2433f433
C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
HKCU\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.exe [x] <===== ATTENTION
HKCU\...\Command Processor: "C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.exe" <======= ATTENTION
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.




Schritt 2

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).



Schritt 3

Lade SystemLook (von jpshortstuff) herunter und speichere das Tool auf dem Desktop.
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
    Vista und Win7 User: Rechtsklick und "als Administrator starten".
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    ATTFilter
    :reg
    HKLM\Software\Classes\*\shellex\ContextMenuHandlers /sub
    HKCU\Software\Classes\*\shellex\ContextMenuHandlers /sub
    
    :regfind
    mgixfmgmdcxogorpr
             
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen. Poste diese in deinen Thread.
  • Das Log-File wird auch auf dem Desktop als SystemLook.txt gespeichert.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von FRST
  • Log von AdwCleaner
  • Log von SystemLook
__________________
cheers,
Leo

Alt 24.08.2013, 16:37   #9
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Leo,

anbei die Log files. Von dem Adwcleaner gibts zwei log files.


Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 24-08-2013 01
Ran by Vera at 2013-08-24 17:18:20 Run:1
Running from C:\Users\Vera\Desktop
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
2013-08-21 16:40 - 2013-08-21 16:40 - 00163175 _____ C:\Users\Vera\AppData\Local\2433f433
C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
HKCU\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.exe [x] <===== ATTENTION
HKCU\...\Command Processor: "C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.exe" <======= ATTENTION

*****************

C:\Users\Vera\AppData\Local\2433f433 => Moved successfully.
C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk => Moved successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
HKCU\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.

==== End of Fixlog ====
         
AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v3.000 - Report created 24/08/2013 at 17:19:20
# Updated 20/08/2013 by Xplode
# Operating System : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : admin - FOXEL01
# Running from : C:\Users\Vera\Desktop\adwcleaner.exe
# Option : Scan

***** [ Services ] *****


***** [ Files / Folders ] *****

Folder Found C:\Users\Karsten\Documents\Inbox

***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Found : HKCU\Software\Conduit
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Key Found : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Key Found : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Key Found : HKLM\Software\Conduit
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}

***** [ Browsers ] *****

-\\ Internet Explorer v9.0.8112.16502

Setting Found : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://search.conduit.com?SearchSource=10&ctid=CT2536373

-\\ Mozilla Firefox v5.0 (de)

[ File : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\lra50n2l.default\prefs.js ]


[ File : C:\Users\Karsten\AppData\Roaming\Mozilla\Firefox\Profiles\qvovhlid.default\prefs.js ]


[ File : C:\Users\Vera\AppData\Roaming\Mozilla\Firefox\Profiles\y3wr0dwu.default\prefs.js ]


[ File : C:\Users\Vera_Luis\AppData\Roaming\Mozilla\Firefox\Profiles\r0hvvxp0.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1731 octets] - [24/08/2013 17:19:20]

########## EOF - \AdwCleaner\AdwCleaner[R0].txt - [1791 octets] ##########
         
[/CODE]
--- --- ---

AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v3.000 - Report created 24/08/2013 at 17:23:05
# Updated 20/08/2013 by Xplode
# Operating System : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Username : admin - FOXEL01
# Running from : C:\Users\Vera\Desktop\adwcleaner.exe
# Option : Clean

***** [ Services ] *****


***** [ Files / Folders ] *****

Folder Deleted : C:\Users\Karsten\Documents\Inbox

***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Deleted : HKCU\Software\Conduit
Key Deleted : HKLM\Software\Conduit

***** [ Browsers ] *****

-\\ Internet Explorer v9.0.8112.16502

Setting Restored : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v5.0 (de)

[ File : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\lra50n2l.default\prefs.js ]


[ File : C:\Users\Karsten\AppData\Roaming\Mozilla\Firefox\Profiles\qvovhlid.default\prefs.js ]


[ File : C:\Users\Vera\AppData\Roaming\Mozilla\Firefox\Profiles\y3wr0dwu.default\prefs.js ]


[ File : C:\Users\Vera_Luis\AppData\Roaming\Mozilla\Firefox\Profiles\r0hvvxp0.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1869 octets] - [24/08/2013 17:19:20]
AdwCleaner[S0].txt - [1756 octets] - [24/08/2013 17:23:05]

########## EOF - \AdwCleaner\AdwCleaner[S0].txt - [1816 octets] ##########
         
[/CODE]
--- --- ---

Code:
ATTFilter
SystemLook 30.07.11 by jpshortstuff
Log created at 17:29 on 24/08/2013 by admin
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers]
(No values found)

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\7-Zip]
@="{23170F69-40C1-278A-1000-000100020000}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu]
@="{85BBD920-42A0-1069-A2E4-08002B30309D}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Cover Designer]
@="{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Open With]
@="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Open With EncryptionMenu]
@="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning]
@="{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\ShellExtension]
(No values found)

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\{100BD527-7304-4b7f-BEE2-26D97B04EBA4}]
(No values found)

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Start Menu Pin"


[HKEY_CURRENT_USER\Software\Classes\*\shellex\ContextMenuHandlers]
(Unable to open key - key not found)

========== regfind ==========

Searching for "mgixfmgmdcxogorpr"
[HKEY_USERS\S-1-5-21-2885789966-2947821499-3673554299-1006\Software\Classes\CLSID\{47288149-6742-9681-8167-807446041741}\InProcServer32]
@="C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.dll"
[HKEY_USERS\S-1-5-21-2885789966-2947821499-3673554299-1006\Software\Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InProcServer32]
@="C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.dll"
[HKEY_USERS\S-1-5-21-2885789966-2947821499-3673554299-1006_Classes\CLSID\{47288149-6742-9681-8167-807446041741}\InProcServer32]
@="C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.dll"
[HKEY_USERS\S-1-5-21-2885789966-2947821499-3673554299-1006_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InProcServer32]
@="C:\Users\Vera\AppData\Local\Temp\mgixfmgmdcxogorpr.dll"

Searching for "         "
[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\downloads\Tax2011Update187575.exe"="InstallScript Setup Launcher                                        "
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell]
"ConfigXML"="             <PlugInConfiguration xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Name="microsoft.powershell" Filename="%windir%\system32\pwrshplugin.dll" SDKVersion="1" XmlRenderingType="text" >                 <InitializationParameters>                     <Param Name="PSVersion" Value="2.0"/>                 </InitializationParameters>                 <Resources>                     <Resource ResourceUri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" SupportsOptions="true" ExactMatch="true">                         <Security xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Uri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" ExactMatch="true" Sddl="O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"/>                         <Capability Type="Shell"/>                     </Resource>                 </Res
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_APPLE&PROD_IPOD&REV_1.62#000A27001B9240B3&0#]
"DeviceDesc"="iPod            "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_ROCKCHIP&PROD_USB_MP3&REV_1.00#USBV1.00&0#]
"DeviceDesc"="USB MP3         "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_ROCKCHIP&PROD_USB__SD&REV_1.00#USBV1.00&1#]
"DeviceDesc"="USB  SD         "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_7.01#22046318D4C28694&0#]
"DeviceDesc"="Cruzer          "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01#2243701DDC4260B4&0#]
"DeviceDesc"="Cruzer          "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_TDK_LOR&PROD_TF10&REV_PMAP#07032CBC37208223&0#]
"DeviceDesc"="TF10            "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_TDK_LOR&PROD_TF10&REV_PMAP#07032CBD1B511377&0#]
"DeviceDesc"="TF10            "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_APPLE&PROD_IPOD&REV_1.62#000A27001B9240B3&0#]
"DeviceDesc"="iPod            "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_ROCKCHIP&PROD_USB_MP3&REV_1.00#USBV1.00&0#]
"DeviceDesc"="USB MP3         "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_ROCKCHIP&PROD_USB__SD&REV_1.00#USBV1.00&1#]
"DeviceDesc"="USB  SD         "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_7.01#22046318D4C28694&0#]
"DeviceDesc"="Cruzer          "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01#2243701DDC4260B4&0#]
"DeviceDesc"="Cruzer          "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_TDK_LOR&PROD_TF10&REV_PMAP#07032CBC37208223&0#]
"DeviceDesc"="TF10            "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_TDK_LOR&PROD_TF10&REV_PMAP#07032CBD1B511377&0#]
"DeviceDesc"="TF10            "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_APPLE&PROD_IPOD&REV_1.62#000A27001B9240B3&0#]
"DeviceDesc"="iPod            "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_ROCKCHIP&PROD_USB_MP3&REV_1.00#USBV1.00&0#]
"DeviceDesc"="USB MP3         "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_ROCKCHIP&PROD_USB__SD&REV_1.00#USBV1.00&1#]
"DeviceDesc"="USB  SD         "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_7.01#22046318D4C28694&0#]
"DeviceDesc"="Cruzer          "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01#2243701DDC4260B4&0#]
"DeviceDesc"="Cruzer          "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_TDK_LOR&PROD_TF10&REV_PMAP#07032CBC37208223&0#]
"DeviceDesc"="TF10            "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&11&STORAGE#VOLUME#1&19F7E59C&0&_??_USBSTOR#DISK&VEN_TDK_LOR&PROD_TF10&REV_PMAP#07032CBD1B511377&0#]
"DeviceDesc"="TF10            "
[HKEY_USERS\S-1-5-21-2885789966-2947821499-3673554299-1004\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\downloads\Tax2011Update187575.exe"="InstallScript Setup Launcher                                        "
[HKEY_USERS\S-1-5-21-2885789966-2947821499-3673554299-1004_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\downloads\Tax2011Update187575.exe"="InstallScript Setup Launcher                                        "

-= EOF =-
         

Alt 24.08.2013, 16:54   #10
aharonov
/// TB-Ausbilder
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Ok, dann noch eine Kontrolle:
Wie läuft der Rechner?


Schritt 1

Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.




Schritt 2


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Schritt 3

Starte noch einmal FRST.
  • Ändere keine der Voreinstellungen und drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von MBAM
  • Log von ESET
  • Log von FRST
__________________
cheers,
Leo

Alt 24.08.2013, 19:54   #11
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Leo,

die Malwarsoftware haengt sich auf oder stürzt mit Bluescreen ab.
Im abgesicherten Modus habe ich folgndes log file erhalten.

Allerdings hat sich das log automatisch geöffnet und ich mußte keine Taste Ergebnisse anzeigen drücken.

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.24.04

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
admin :: FOXEL01 [Administrator]

Schutz: Deaktiviert

24.08.2013 20:30:37
mbam-log-2013-08-24 (20-30-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 347894
Laufzeit: 5 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Unter dem Reiter Logdateien war auch folgendes File. Es enthält wohl Einträge von verschiedenen Versuchen den Scan zu starten.

Code:
ATTFilter
013/08/24 18:08:52 +0200	FOXEL01	Vera	MESSAGE	Starting protection
2013/08/24 18:08:52 +0200	FOXEL01	Vera	MESSAGE	Protection started successfully
2013/08/24 18:08:52 +0200	FOXEL01	Vera	MESSAGE	Starting IP protection
2013/08/24 18:09:05 +0200	FOXEL01	Vera	MESSAGE	Executing scheduled update:  Daily
2013/08/24 18:09:06 +0200	FOXEL01	Vera	MESSAGE	Database already up-to-date
2013/08/24 18:09:06 +0200	FOXEL01	Vera	MESSAGE	IP Protection started successfully
2013/08/24 18:09:06 +0200	FOXEL01	Vera	MESSAGE	Starting database refresh
2013/08/24 18:09:06 +0200	FOXEL01	Vera	MESSAGE	Stopping IP protection
2013/08/24 18:09:07 +0200	FOXEL01	Vera	MESSAGE	IP Protection stopped successfully
2013/08/24 18:09:11 +0200	FOXEL01	Vera	MESSAGE	Database refreshed successfully
2013/08/24 18:09:11 +0200	FOXEL01	Vera	MESSAGE	Starting IP protection
2013/08/24 18:09:13 +0200	FOXEL01	Vera	MESSAGE	IP Protection started successfully
2013/08/24 18:41:27 +0200	FOXEL01	Vera	MESSAGE	Starting protection
2013/08/24 18:41:27 +0200	FOXEL01	Vera	MESSAGE	Protection started successfully
2013/08/24 18:41:27 +0200	FOXEL01	Vera	MESSAGE	Starting IP protection
2013/08/24 18:41:32 +0200	FOXEL01	Vera	MESSAGE	IP Protection started successfully
2013/08/24 18:45:57 +0200	FOXEL01	Vera	MESSAGE	Stopping IP protection
2013/08/24 18:45:57 +0200	FOXEL01	Vera	MESSAGE	IP Protection stopped successfully
2013/08/24 18:46:07 +0200	FOXEL01	Vera	MESSAGE	Protection stopped
2013/08/24 18:46:15 +0200	FOXEL01	Vera	MESSAGE	Starting protection
2013/08/24 18:46:15 +0200	FOXEL01	Vera	MESSAGE	Protection started successfully
2013/08/24 18:46:15 +0200	FOXEL01	Vera	MESSAGE	Starting IP protection
2013/08/24 18:46:30 +0200	FOXEL01	Vera	MESSAGE	IP Protection started successfully
2013/08/24 18:46:36 +0200	FOXEL01	Vera	MESSAGE	Starting database refresh
2013/08/24 18:46:36 +0200	FOXEL01	Vera	MESSAGE	Stopping IP protection
2013/08/24 18:46:37 +0200	FOXEL01	Vera	MESSAGE	IP Protection stopped successfully
2013/08/24 18:46:40 +0200	FOXEL01	Vera	MESSAGE	Database refreshed successfully
2013/08/24 18:46:40 +0200	FOXEL01	Vera	MESSAGE	Starting IP protection
2013/08/24 18:46:42 +0200	FOXEL01	Vera	MESSAGE	IP Protection started successfully
2013/08/24 19:27:24 +0200	FOXEL01	(null)	MESSAGE	Starting protection
2013/08/24 19:27:25 +0200	FOXEL01	(null)	MESSAGE	Protection started successfully
2013/08/24 19:27:25 +0200	FOXEL01	(null)	MESSAGE	Starting IP protection
2013/08/24 19:27:29 +0200	FOXEL01	(null)	MESSAGE	IP Protection started successfully
2013/08/24 19:40:24 +0200	FOXEL01	Karsten	MESSAGE	Stopping IP protection
2013/08/24 19:40:26 +0200	FOXEL01	Karsten	MESSAGE	IP Protection stopped successfully
2013/08/24 19:40:39 +0200	FOXEL01	Karsten	MESSAGE	Protection stopped
2013/08/24 19:40:47 +0200	FOXEL01	Karsten	MESSAGE	Starting protection
2013/08/24 19:40:47 +0200	FOXEL01	Karsten	MESSAGE	Protection started successfully
2013/08/24 19:40:47 +0200	FOXEL01	Karsten	MESSAGE	Starting IP protection
2013/08/24 19:41:04 +0200	FOXEL01	Karsten	MESSAGE	IP Protection started successfully
2013/08/24 19:41:04 +0200	FOXEL01	Karsten	MESSAGE	Starting database refresh
2013/08/24 19:41:04 +0200	FOXEL01	Karsten	MESSAGE	Stopping IP protection
2013/08/24 19:41:05 +0200	FOXEL01	Karsten	MESSAGE	IP Protection stopped successfully
2013/08/24 19:41:09 +0200	FOXEL01	Karsten	MESSAGE	Database refreshed successfully
2013/08/24 19:41:09 +0200	FOXEL01	Karsten	MESSAGE	Starting IP protection
2013/08/24 19:41:12 +0200	FOXEL01	Karsten	MESSAGE	IP Protection started successfully
2013/08/24 19:54:18 +0200	FOXEL01	Karsten	MESSAGE	Starting protection
2013/08/24 19:54:19 +0200	FOXEL01	Karsten	MESSAGE	Protection started successfully
2013/08/24 19:54:19 +0200	FOXEL01	Karsten	MESSAGE	Starting IP protection
2013/08/24 19:54:22 +0200	FOXEL01	Karsten	MESSAGE	IP Protection started successfully
2013/08/24 20:40:12 +0200	FOXEL01	Karsten	MESSAGE	Starting protection
2013/08/24 20:40:12 +0200	FOXEL01	Karsten	MESSAGE	Protection started successfully
2013/08/24 20:40:12 +0200	FOXEL01	Karsten	MESSAGE	Starting IP protection
2013/08/24 20:40:18 +0200	FOXEL01	Karsten	MESSAGE	IP Protection started successfully
         
Wie geht es weiter?

Gruß
Karsten

Alt 24.08.2013, 19:57   #12
aharonov
/// TB-Ausbilder
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Karsten,

dann bitte weiter mit Schritt 2 von letzter Anleitung (ESET).
__________________
cheers,
Leo

Alt 24.08.2013, 23:34   #13
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Leo,

hier die Ergebnisse ohne Malware.

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=e5dc2a9717f68943a6c9bbbe21fe64bd
# engine=14887
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-24 10:09:20
# local_time=2013-08-25 12:09:20 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 97 36585 148049865 24290 0
# compatibility_mode=5892 16776574 100 100 15859501 214914888 0 0
# scanned=468369
# found=1
# cleaned=0
# scan_time=10696
sh=C291BB284D824007F83463AFDADEA3F72C926D5A ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Vera\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\3e377d37-39daa856"
         
FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 23-08-2013 01
Ran by Karsten (ATTENTION: The logged in user is not administrator) on 25-08-2013 00:30:27
Running from C:\Users\Karsten\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Malwarebytes Corporation) C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
(ODSoft multimedia) C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(Intel(R) Corporation) C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(ScanSoft, Inc.) C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
(ArcSoft Inc.) C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe
(Microsoft Corporation) C:\Windows\WindowsMobile\wmdSync.exe
(Vimicro Corporation) C:\Program Files\vimicro\VMUVC\VMonitor.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(ArcSoft Inc.) C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(Google Inc.) C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Intel(R) Corporation) C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [TVBroadcast] - C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe [797696 2007-08-08] (ODSoft multimedia)
HKLM\...\Run: [IAAnotif] - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [178712 2007-10-09] (Intel Corporation)
HKLM\...\Run: [NMSSupport] - C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe [439512 2007-06-27] (Intel Corporation)
HKLM\...\Run: [CCUTRAYICON] - C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe [215256 2007-06-27] (Intel(R) Corporation)
HKLM\...\Run: [RtHDVCpl] - C:\Windows\RtHDVCpl.exe [4706304 2007-11-14] (Realtek Semiconductor)
HKLM\...\Run: [Skytel] - C:\Windows\Skytel.exe [1826816 2007-10-11] (Realtek Semiconductor Corp.)
HKLM\...\Run: [NvSvc] - C:\Windows\system32\nvsvc.dll [86016 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [8530464 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] - C:\Windows\system32\NvMcTray.dll [81920 2007-12-14] (NVIDIA Corporation)
HKLM\...\Run: [SSBkgdUpdate] - C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [155648 2003-10-14] (Scansoft, Inc.)
HKLM\...\Run: [PaperPort PTD] - C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe [57393 2005-03-17] (ScanSoft, Inc.)
HKLM\...\Run: [IndexSearch] - C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe [40960 2005-03-17] (ScanSoft, Inc.)
HKLM\...\Run: [ArcSoft Connection Service] - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe [207424 2010-10-27] (ArcSoft Inc.)
HKLM\...\Run: [FreePDF Assistant] - C:\Program Files\FreePDF_XP\fpassist.exe [385024 2009-09-05] (shbox.de)
HKLM\...\Run: [Windows Mobile-based device management] - C:\Windows\WindowsMobile\wmdSync.exe [215552 2006-11-02] (Microsoft Corporation)
HKLM\...\Run: [VMonitorVMUVC] - C:\Program Files\Vimicro\VMUVC\VMonitor.exe [135168 2008-03-26] (Vimicro Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-07-01] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-05-31] (Apple Inc.)
HKLM\...\RunOnce: [ Malwarebytes Anti-Malware ] - C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent [532040 2013-04-04] (Malwarebytes Corporation)
HKLM\...\RunOnce: [*WerKernelReporting] - %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [217088 2009-04-11] (Microsoft Corporation)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2009-10-28] (Google Inc.)
MountPoints2: F - F:\Toshiba\more4you.exe
MountPoints2: {57357997-ee9b-11e2-ba6e-001d922dc157} - H:\Startme.exe
MountPoints2: {9aebc845-5c65-11df-91aa-806e6f6e6963} - E:\start.exe /auto
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\t@x aktuell.lnk
ShortcutTarget: t@x aktuell.lnk -> C:\Program Files\Buhl finance\tax Steuersoftware 2012\taxaktuell.exe ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk
ShortcutTarget: WISO Mein Steuer-Sparbuch heute.lnk -> C:\Program Files\Buhl finance\wiso2013\mshaktuell.exe ()
Startup: C:\Users\Vera\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office10\Office14\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Users\Vera_Luis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL (ArcSoft, Inc.)
BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office10\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll (Google Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKCU -Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: ipp - No CLSID Value - 
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Handler: msdaipp - No CLSID Value - 
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Karsten\AppData\Roaming\Mozilla\Firefox\Profiles\qvovhlid.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~3\Office10\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~3\Office10\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=6.0.11.3088 - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprjplug;version=1.0.2.3146 - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpjplug;version=6.0.11.3006 - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=1.1.11 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF Plugin: @videolan.org/vlc,version=2.0.1 - C:\Program Files\VideoLAN\VLC_2_0_1\npvlc.dll (VideoLAN)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: No Name - C:\Users\Karsten\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
FF Extension: Microsoft .NET Framework Assistant - C:\Users\Karsten\AppData\Roaming\Mozilla\Firefox\Profiles\qvovhlid.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF Extension: Default - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] C:\Program Files\Real\RealPlayer\browserrecord
FF Extension: RealPlayer Browser Record Plugin - C:\Program Files\Real\RealPlayer\browserrecord
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{B728AB94-9BC7-49b7-B76A-422BB31B2FD0}] C:\Program Files\ArcSoft\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox
FF Extension: Internet Video Downloader - C:\Program Files\ArcSoft\Media Converter for Philips\Internet Video Downloader\Plugin_FireFox

Chrome: 
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"

========================== Services (Whitelisted) =================

R2 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
R2 AlertService; C:\Program Files\Intel\IntelDH\CCU\AlertService.exe [223448 2007-06-27] (Intel(R) Corporation)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG)
R2 bgsvcgen; C:\Windows\System32\bgsvcgen.exe [145504 2007-06-15] (B.H.A Corporation)
R2 Brother XP spl Service; C:\Windows\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
S3 DHTRACE; C:\Program Files\Common Files\Intel\IntelDH\bin\DHTraceController.exe [39640 2007-06-27] (Intel(R) Corporation)
R2 DQLWinService; C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [208896 2007-02-12] ()
S3 FirebirdServerMAGIXInstance; C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [1527900 2005-11-17] (MAGIX®)
R2 GnabService; c:\program files\common files\gnab\service\servicecontroller.exe [36864 2007-04-13] (Empolis GmbH)
S3 GoogleDesktopManager; C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe [69120 2009-10-27] (Google)
R2 iphlpsvc; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 ISSM; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe [59096 2007-06-27] (Intel(R) Corporation)
R2 lmhosts; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 M1 Server; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe [268504 2007-06-27] ()
R2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [418376 2013-04-04] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [701512 2013-04-04] (Malwarebytes Corporation)
R2 MCLServiceATL; C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe [157912 2007-06-27] (Intel(R) Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 NMSCore; C:\Program Files\Common Files\Intel\IntelDH\NMS\NMSCore\NMSCore.exe [317656 2007-06-27] (Intel(R) Corporation)
R2 Norton PC Checkup Application Launcher; C:\Program Files\Norton PC Checkup 3.0\SymcPCCULaunchSvc.exe [132056 2012-07-17] (Symantec Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
R2 OMSI download service; C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [90112 2009-04-30] ()
R2 QualityManager; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\qualitymanager.exe [272600 2007-06-27] (Intel(R) Corporation)
R2 Remote UI Service; C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe [446680 2007-06-27] (Intel(R) Corporation)
R2 RichVideo; C:\Program Files\CyberLink\Shared Files\RichVideo.exe [272024 2007-01-09] ()
S3 Sony PC Companion; C:\Program Files\Sony\Sony PC Companion\PCCService.exe [155824 2013-02-04] (Avanquest Software)
R2 srvcPVR; C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [1681408 2007-08-16] (Buhl Data Service GmbH)
R2 TVECapSvc; C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVECapSvc.exe [290909 2007-10-19] ()
R2 TVESched; C:\Program Files\HomeCinema\TV Enhance\Kernel\TV\TVESched.exe [114779 2007-10-19] ()
R2 x10nets; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [20480 2001-11-12] (X10)

==================== Drivers (Whitelisted) ====================

R3 3xHybrid; C:\Windows\System32\DRIVERS\3xHybrid.sys [1006816 2011-11-13] (NXP Semiconductors Germany GmbH)
R3 Afc; C:\Windows\System32\drivers\Afc.sys [11776 2005-02-23] (Arcsoft, Inc.)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-05] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-05] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-05] (Avira Operations GmbH & Co. KG)
R0 CLFS; C:\Windows\System32\CLFS.sys [245736 2009-04-11] (Microsoft Corporation)
S3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [45568 2006-11-02] (VIA Technologies, Inc.              )
R3 IntelDH; C:\Windows\System32\Drivers\IntelDH.sys [5632 2007-10-15] (Intel Corporation)
R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
R3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [554496 2007-09-21] (Ralink Technology Corp.)
R2 nmsunidr; C:\Windows\System32\DRIVERS\nmsunidr.sys [5376 2007-02-18] (Gteko Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-23] (Avira GmbH)
S3 TSHWMDTCP; C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.sys [14552 2007-06-27] ()
R3 VMUVC; C:\Windows\System32\Drivers\VMUVC.sys [250240 2008-06-16] (Vimicro Corporation)
R3 vvftUVC; C:\Windows\System32\drivers\vvftUVC.sys [476160 2008-06-16] (Vimicro Corporation)
R3 X10Hid; C:\Windows\System32\Drivers\x10hid.sys [13976 2006-11-17] (X10 Wireless Technology, Inc.)
R3 XUIF; C:\Windows\System32\Drivers\x10ufx2.sys [27416 2006-11-30] (X10 Wireless Technology, Inc.)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\C:\Users\admin\AppData\Local\Temp\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-24 19:38 - 2013-08-24 19:38 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Karsten\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-24 19:36 - 2013-08-24 19:36 - 00000000 ____D C:\Users\Karsten\AppData\Roaming\Malwarebytes
2013-08-24 18:41 - 2013-08-24 18:41 - 00000000 ____D C:\Users\Vera\AppData\Roaming\Malwarebytes
2013-08-24 18:08 - 2013-08-24 19:40 - 00000953 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-08-24 18:08 - 2013-08-24 19:40 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-24 18:08 - 2013-08-24 18:08 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-24 18:08 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-08-24 18:06 - 2013-08-24 18:06 - 02347384 _____ (ESET) C:\Users\Vera\Desktop\esetsmartinstaller_enu.exe
2013-08-24 18:04 - 2013-08-24 18:04 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Vera\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-24 17:29 - 2013-08-24 17:30 - 00017262 _____ C:\Users\Vera\Desktop\SystemLook.txt
2013-08-24 17:19 - 2013-08-24 17:23 - 00000000 ____D C:\AdwCleaner
2013-08-24 17:17 - 2013-08-24 17:17 - 00139264 _____ C:\Users\Vera\Desktop\SystemLook.exe
2013-08-24 17:16 - 2013-08-24 17:16 - 00975858 _____ C:\Users\Vera\Desktop\adwcleaner.exe
2013-08-24 16:58 - 2013-08-24 17:01 - 00031075 _____ C:\Users\Vera\Desktop\FRST.txt
2013-08-24 16:57 - 2013-08-24 16:57 - 01070693 _____ (Farbar) C:\Users\Vera\Desktop\FRST.exe
2013-08-24 16:19 - 2013-08-24 16:19 - 00015957 _____ C:\ComboFix.txt
2013-08-24 15:48 - 2013-08-24 16:19 - 00000000 ____D C:\ComboFix
2013-08-24 15:48 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-08-24 15:48 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-08-24 15:48 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-08-24 15:48 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-08-24 15:47 - 2013-08-24 16:19 - 00000000 ____D C:\Qoobox
2013-08-24 15:46 - 2013-08-24 16:18 - 00000000 ____D C:\Windows\erdnt
2013-08-24 15:43 - 2013-08-24 15:43 - 05111180 ____R (Swearware) C:\Users\Karsten\Desktop\ComboFix.exe
2013-08-24 13:16 - 2013-08-24 13:16 - 00018950 _____ C:\Users\Karsten\Desktop\Addition.txt
2013-08-24 13:08 - 2013-08-24 13:08 - 00000000 ____D C:\FRST
2013-08-24 13:06 - 2013-08-24 13:07 - 00000472 _____ C:\Users\Karsten\Desktop\defogger_disable.log
2013-08-24 12:28 - 2013-08-24 12:43 - 00377856 _____ C:\Users\Karsten\Desktop\gmer_2.1.19163.exe
2013-08-24 12:26 - 2013-08-24 12:26 - 00050477 _____ C:\Users\Karsten\Desktop\Defogger.exe
2013-08-24 12:25 - 2013-08-24 12:26 - 01070467 _____ (Farbar) C:\Users\Karsten\Desktop\FRST.exe
2013-08-17 20:41 - 2013-08-17 20:41 - 00000000 ____D C:\Users\Karsten\restore
2013-08-17 20:34 - 2013-08-18 23:34 - 00000000 ____D C:\ProgramData\tmp
2013-08-17 20:34 - 2013-08-18 13:28 - 00000000 ____D C:\ProgramData\hps
2013-08-17 13:05 - 2013-08-17 13:05 - 00001112 _____ C:\Users\Public\Desktop\Mein CEWE FOTOBUCH.lnk
2013-08-17 13:05 - 2013-08-17 13:05 - 00001092 _____ C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk
2013-08-17 13:01 - 2013-08-17 13:01 - 00000000 ____D C:\Program Files\CEWE COLOR
2013-08-16 08:08 - 2013-08-16 08:12 - 00000000 ____D C:\Windows\system32\MRT
2013-08-16 08:01 - 2013-07-25 04:26 - 01129472 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-08-16 08:01 - 2013-07-25 04:24 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00717824 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00607744 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00420864 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-08-16 08:01 - 2013-07-25 04:23 - 00142848 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-08-16 08:01 - 2013-07-25 04:22 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-08-16 08:01 - 2013-07-25 04:22 - 00176640 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-08-16 08:01 - 2013-07-25 04:22 - 00073216 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-08-16 08:00 - 2013-07-25 04:40 - 12334080 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-08-16 08:00 - 2013-07-25 04:32 - 01800704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-08-16 08:00 - 2013-07-25 04:30 - 09738752 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-08-16 08:00 - 2013-07-25 04:26 - 01104384 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-08-16 08:00 - 2013-07-25 04:25 - 01427968 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-08-16 08:00 - 2013-07-25 04:24 - 00231936 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-08-16 08:00 - 2013-07-25 04:23 - 01796096 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-08-15 18:18 - 2013-07-05 06:53 - 00905664 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-08-15 18:18 - 2013-06-15 15:22 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\icaapi.dll
2013-08-15 18:18 - 2013-06-15 13:23 - 00024064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tssecsrv.sys
2013-08-15 18:17 - 2013-07-17 21:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2013-08-15 18:17 - 2013-07-10 11:47 - 00783360 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2013-08-15 18:17 - 2013-07-09 14:10 - 01205168 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-08-15 18:17 - 2013-07-08 06:55 - 03603904 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-08-15 18:17 - 2013-07-08 06:55 - 03551680 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-08-15 18:17 - 2013-07-08 06:20 - 00172544 _____ (Microsoft Corporation) C:\Windows\system32\wintrust.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00992768 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00133120 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2013-08-15 18:17 - 2013-07-08 06:16 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2013-08-06 08:01 - 2013-08-06 08:01 - 00002120 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-08-04 12:49 - 2013-08-04 12:49 - 00000000 ____D C:\Program Files\Common Files\Windows Live
2013-08-04 09:23 - 2013-08-04 09:23 - 00001711 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-08-04 09:22 - 2013-08-04 09:23 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-04 09:22 - 2013-08-04 09:23 - 00000000 ____D C:\Program Files\iTunes
2013-08-04 09:22 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iPod
2013-08-04 09:17 - 2013-08-04 09:17 - 00001773 _____ C:\Users\Public\Desktop\QuickTime Player.lnk
2013-08-04 09:16 - 2013-08-04 09:17 - 00000000 ____D C:\Program Files\QuickTime

==================== One Month Modified Files and Folders =======

2013-08-25 00:30 - 2009-11-14 09:09 - 00000430 ____H C:\Windows\Tasks\User_Feed_Synchronization-{C876FE5A-1437-4CD4-9957-1A2CAE695F35}.job
2013-08-25 00:02 - 2013-01-13 13:27 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-24 23:59 - 2010-01-20 22:29 - 00001096 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-08-24 23:48 - 2009-10-27 11:40 - 01259648 _____ C:\Windows\WindowsUpdate.log
2013-08-24 22:40 - 2006-11-02 14:47 - 00003344 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-24 22:40 - 2006-11-02 14:47 - 00003344 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-24 21:11 - 2006-11-02 12:33 - 01586672 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-24 21:07 - 2013-08-24 21:07 - 00000000 ____D C:\Program Files\ESET
2013-08-24 20:43 - 2006-11-02 14:37 - 00000000 ___RD C:\Users\Public\Recorded TV
2013-08-24 20:40 - 2010-01-20 22:29 - 00001092 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-08-24 20:39 - 2006-11-02 15:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-24 19:53 - 2011-10-19 09:45 - 00000000 ____D C:\Windows\Minidump
2013-08-24 19:53 - 2011-10-19 09:44 - 222689540 _____ C:\Windows\MEMORY.DMP
2013-08-24 19:40 - 2013-08-24 18:08 - 00000953 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-08-24 19:40 - 2013-08-24 18:08 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-24 19:38 - 2013-08-24 19:38 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Karsten\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-24 19:36 - 2013-08-24 19:36 - 00000000 ____D C:\Users\Karsten\AppData\Roaming\Malwarebytes
2013-08-24 18:41 - 2013-08-24 18:41 - 00000000 ____D C:\Users\Vera\AppData\Roaming\Malwarebytes
2013-08-24 18:08 - 2013-08-24 18:08 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-24 18:06 - 2013-08-24 18:06 - 02347384 _____ (ESET) C:\Users\Vera\Desktop\esetsmartinstaller_enu.exe
2013-08-24 18:04 - 2013-08-24 18:04 - 10285040 _____ (Malwarebytes Corporation                                    ) C:\Users\Vera\Desktop\mbam-setup-1.75.0.1300.exe
2013-08-24 17:30 - 2013-08-24 17:29 - 00017262 _____ C:\Users\Vera\Desktop\SystemLook.txt
2013-08-24 17:24 - 2006-11-02 15:01 - 00032530 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-08-24 17:23 - 2013-08-24 17:19 - 00000000 ____D C:\AdwCleaner
2013-08-24 17:17 - 2013-08-24 17:17 - 00139264 _____ C:\Users\Vera\Desktop\SystemLook.exe
2013-08-24 17:16 - 2013-08-24 17:16 - 00975858 _____ C:\Users\Vera\Desktop\adwcleaner.exe
2013-08-24 17:01 - 2013-08-24 16:58 - 00031075 _____ C:\Users\Vera\Desktop\FRST.txt
2013-08-24 16:57 - 2013-08-24 16:57 - 01070693 _____ (Farbar) C:\Users\Vera\Desktop\FRST.exe
2013-08-24 16:30 - 2007-10-10 13:56 - 00201406 _____ C:\Windows\PFRO.log
2013-08-24 16:19 - 2013-08-24 16:19 - 00015957 _____ C:\ComboFix.txt
2013-08-24 16:19 - 2013-08-24 15:48 - 00000000 ____D C:\ComboFix
2013-08-24 16:19 - 2013-08-24 15:47 - 00000000 ____D C:\Qoobox
2013-08-24 16:19 - 2006-11-02 13:18 - 00000000 __RHD C:\Users\Default
2013-08-24 16:19 - 2006-11-02 13:18 - 00000000 ___RD C:\Users\Public
2013-08-24 16:18 - 2013-08-24 15:46 - 00000000 ____D C:\Windows\erdnt
2013-08-24 16:17 - 2006-11-02 12:23 - 00000215 _____ C:\Windows\system.ini
2013-08-24 15:59 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-24 15:43 - 2013-08-24 15:43 - 05111180 ____R (Swearware) C:\Users\Karsten\Desktop\ComboFix.exe
2013-08-24 13:16 - 2013-08-24 13:16 - 00018950 _____ C:\Users\Karsten\Desktop\Addition.txt
2013-08-24 13:08 - 2013-08-24 13:08 - 00000000 ____D C:\FRST
2013-08-24 13:07 - 2013-08-24 13:06 - 00000472 _____ C:\Users\Karsten\Desktop\defogger_disable.log
2013-08-24 13:06 - 2009-10-27 23:58 - 00000000 ____D C:\Users\admin
2013-08-24 12:49 - 2009-11-01 09:41 - 00000000 ____D C:\aadaten\900_Rechner
2013-08-24 12:43 - 2013-08-24 12:28 - 00377856 _____ C:\Users\Karsten\Desktop\gmer_2.1.19163.exe
2013-08-24 12:26 - 2013-08-24 12:26 - 00050477 _____ C:\Users\Karsten\Desktop\Defogger.exe
2013-08-24 12:26 - 2013-08-24 12:25 - 01070467 _____ (Farbar) C:\Users\Karsten\Desktop\FRST.exe
2013-08-21 17:03 - 2012-04-01 11:17 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-08-21 17:03 - 2011-11-26 15:56 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-08-18 23:34 - 2013-08-17 20:34 - 00000000 ____D C:\ProgramData\tmp
2013-08-18 13:28 - 2013-08-17 20:34 - 00000000 ____D C:\ProgramData\hps
2013-08-18 12:57 - 2009-10-29 21:57 - 00000000 ____D C:\Users\Karsten\AppData\Local\Google
2013-08-17 20:41 - 2013-08-17 20:41 - 00000000 ____D C:\Users\Karsten\restore
2013-08-17 13:05 - 2013-08-17 13:05 - 00001112 _____ C:\Users\Public\Desktop\Mein CEWE FOTOBUCH.lnk
2013-08-17 13:05 - 2013-08-17 13:05 - 00001092 _____ C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk
2013-08-17 13:01 - 2013-08-17 13:01 - 00000000 ____D C:\Program Files\CEWE COLOR
2013-08-17 10:48 - 2010-11-08 21:02 - 00002759 _____ C:\Users\Karsten\Desktop\Microsoft PowerPoint 2010.lnk
2013-08-17 10:37 - 2010-03-02 09:54 - 00000000 ____D C:\Users\Karsten\AppData\Local\FreePDF_XP
2013-08-17 10:36 - 2010-02-04 08:22 - 00008400 _____ C:\fpRedmon.log
2013-08-16 08:49 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\rescache
2013-08-16 08:27 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\system32\de-DE
2013-08-16 08:12 - 2013-08-16 08:08 - 00000000 ____D C:\Windows\system32\MRT
2013-08-16 08:08 - 2006-11-02 12:24 - 75778376 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-08-16 08:06 - 2007-10-10 12:37 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-08-13 12:50 - 2009-11-01 09:41 - 00000000 ____D C:\aadaten\excel
2013-08-13 09:41 - 2006-11-02 14:52 - 00209168 _____ C:\Windows\setupact.log
2013-08-13 09:36 - 2009-11-30 21:33 - 00038400 _____ C:\Users\Karsten\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-08-07 12:13 - 2009-11-01 09:23 - 00000000 ____D C:\aadaten\250_verschiedenes
2013-08-06 08:01 - 2013-08-06 08:01 - 00002120 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-08-06 08:01 - 2009-10-27 11:40 - 00000000 ____D C:\Program Files\Google
2013-08-04 17:34 - 2009-11-01 09:23 - 00000000 ____D C:\aadaten\300_Bilder
2013-08-04 12:49 - 2013-08-04 12:49 - 00000000 ____D C:\Program Files\Common Files\Windows Live
2013-08-04 09:23 - 2013-08-04 09:23 - 00001711 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-08-04 09:23 - 2013-08-04 09:22 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-04 09:23 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iTunes
2013-08-04 09:22 - 2013-08-04 09:22 - 00000000 ____D C:\Program Files\iPod
2013-08-04 09:22 - 2010-02-20 16:07 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-08-04 09:17 - 2013-08-04 09:17 - 00001773 _____ C:\Users\Public\Desktop\QuickTime Player.lnk
2013-08-04 09:17 - 2013-08-04 09:16 - 00000000 ____D C:\Program Files\QuickTime
2013-08-03 20:08 - 2009-11-01 09:41 - 00000000 ____D C:\aadaten\hgw
2013-07-31 18:02 - 2012-12-08 16:03 - 00002018 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2013-07-31 07:35 - 2007-10-10 13:06 - 00000000 ____D C:\ProgramData\Adobe

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== End Of Log ============================
         
--- --- ---


Gruß
Karsten

Alt 25.08.2013, 02:04   #14
aharonov
/// TB-Ausbilder
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Karsten,

läuft der Rechner jetzt normal oder bestehen noch Probleme?
__________________
cheers,
Leo

Alt 25.08.2013, 12:26   #15
gvugesch
 
Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern  / ein Benutzer blockiert - Standard

Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert



Hallo Leo,

sieht so aus als ob der Rechner wieder normal funktioniert.

Bei dem ESET scan gab es 1 Thread, ist der normal/unproblematisch?
Habe heute nochem versucht Malware laufen zu lassen hatt wieder einen Abbruch mit Blue Screen, ist das normal?


Würdest Du den Rechner wieder für Homebaking nutzen?

Vielen Dank Soweit

Gruß
Karsten

Antwort

Themen zu Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert
anwaltschaft, exp/cve-2012-1723.a.3818, farbar, farbar recovery scan tool, js/agent.480412, plug-in, tr/crypt.ulpm.gen2, tr/injector.lr.2, tr/injector.vg, tr/kazy.169263.1, tr/matsnu.eb.142, tr/spy.abvier.a, tr/spy.zbot.akt, tr/spy.zbot.alw



Ähnliche Themen: Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert


  1. Windows Vista: TR/Crypt.XPACK.Gen2 gefährlich?
    Log-Analyse und Auswertung - 27.12.2014 (1)
  2. TR/Crypt.Zpack.23950 /Windows Vista -Online-Banking, Internet langsam, Avira blockiert etc.
    Plagegeister aller Art und deren Bekämpfung - 23.11.2013 (21)
  3. TR/Crypt.EPACK.Gen2 und TR/Dropper.Gen Rechner hängt sich auf (Firefox)
    Log-Analyse und Auswertung - 16.05.2013 (21)
  4. Rechner vermutlich nicht sauber - crypt.epack.gen2
    Log-Analyse und Auswertung - 25.04.2013 (5)
  5. TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (30)
  6. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  7. Trojaner TR/Atraps.gen2/TR, Crypt.ULPM.Gen, TR/Nedsym.G.400 und Rootkits
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (44)
  8. TR\crypt\ULPM.gen
    Plagegeister aller Art und deren Bekämpfung - 23.10.2011 (27)
  9. TR/Crypt.EPACK.Gen2 auf meinem Rechner
    Log-Analyse und Auswertung - 09.04.2011 (3)
  10. TR/Crypt.EPACK.Gen2 auf meinem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.11.2010 (1)
  11. TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp
    Plagegeister aller Art und deren Bekämpfung - 07.10.2010 (16)
  12. TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 24.05.2009 (0)
  13. TR/Crypt.ULPM.Gen
    Log-Analyse und Auswertung - 26.03.2009 (7)
  14. TR/Crypt.ULPM.Gen und .crypt.xpack.gen von antivir gemeldet
    Log-Analyse und Auswertung - 27.09.2008 (1)
  15. TR/Crypt.ULPM.Gen
    Mülltonne - 17.11.2007 (0)
  16. Virus TR/Crypt.ULPM.Gen'
    Plagegeister aller Art und deren Bekämpfung - 31.07.2007 (4)
  17. TR/Crypt.ULPM.Gen
    Mülltonne - 01.07.2007 (1)

Zum Thema Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert - Hallo Wir haben auf unserem Rechner obigen Virus. Von den 4 eingerichteten Benutzern (1 x Admin 3 x Standardbenutzer) ist einer (standardbenutzer) durch den GUV Bildschirm mit der Zahlungsaufforderung blockiert. - Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert...
Archiv
Du betrachtest: Crypt.ULPM.Gen2 Virus auf Vista Rechner mit 4 Benutzern / ein Benutzer blockiert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.