Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kaspersky findet Backdoor.Win32.Androm.cue

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.10.2013, 16:01   #1
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo,

leider bin ich auf eine gefälschte Telekom-Rechnung hereingefallen. Die Mail sah exakt so aus wie die monatliche Original-Rechnung. Es hätte mir auffallen müssen, dass der Anhang nicht so wie sonst eine pdf-Datei sondern eine zip-Datei war. Nach dem Doppelklick auf die Datei tat sich sichtbar nichts. Dann erst erkannte ich meinen Fehler.

Ein Full-Scan meines Rechners, Windows 7, Service Pack 1, mit Kaspersky Version 8.1.0.831, aktuelle Datenbanken, findet als Ergebnis:

Schädliches Objekt wurde gefunden
Ergebnis: Backdoor.Win32.Androm.cue
Objekt: C:\Documents and Settings\TomWSch\AppData\Local\Temp1_2013_10rechnung_9944135797.zip\2013_10rechnung_7409598302.pdf.exe

Ein simpler Zugriff mit dem Windows-Explorer auf die Datei
C:\Documents and Settings\TomWSch\AppData\Local\Temp1_2013_10rechnung_9944135797.zip
ist nicht möglich.

Unter den Berichten, die Kaspersky erzeugt, gibt es den Bericht "Web-Anti-Virus". Hier ist zu sehen, dass alle fünf Minuten zweimal eine Installation versucht wird. Die jeweilige Zeile lautet dann:
Ereignisdatum: <Datum/Uhrzeit>
Bezeichnung: Verboten
Programm: Windows(r)Installer
Ergebnis: VerbotenFDFD25B6900A1D5 (mit der Datenbank für verdächtige Webadressen untersuchen)
Objekt: hxxp://dotier.net/zeta.php


Mir ist nicht klar, welchen Zustand mein Rechner nun hat. Es macht auf mich den Eindruck, als hätte ich mir einen Trojaner eingefangen, der aber auf meinem Rechner noch nicht aktiv ist.

Habe ich Recht? Und wie werde ich den Schädling wieder vollständig los?

Vielen Dank schon jetzt an alle, die mir helfen wollen
Tom

Alt 20.10.2013, 16:11   #2
Bootsektor
/// TB-Ausbilder
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue





Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld
__________________


Alt 20.10.2013, 16:13   #3
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Bootsektor,

schon mal vielen Dank, dass Du Dich um mein Problems kümmerst.

Bis bald
Tom
__________________

Alt 20.10.2013, 16:42   #4
Bootsektor
/// TB-Ausbilder
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Tom
Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein. Genaueres kann ich Dir erst nach den Scans sagen.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst dann stoppe mit Deiner Auführung und beschreibe mir das Problem
  • Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Poste die Logfiles direkt in deinen Thread in Code-Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
  • Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2
Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.


Schritt 3
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


Alt 20.10.2013, 18:09   #5
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Sandra,

alle von Dir beschriebenen Schritte sind bei meinem Rechner fehlerfrei durchgelaufen.

Hier sind nun die angegebenen Codes:

defogger_disable.log
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:29 on 20/10/2013 (Harald Peters)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

gmer.txt
Code:
ATTFilter
GMER Logfile:
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-10-20 18:47:05
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD16 rev.11.0 149,05GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\HARALD~1\AppData\Local\Temp\ffdiypog.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 544                                                                                           fffff80002bf0000 64 bytes [00, 00, 87, 00, 46, 69, 6C, ...]
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 610                                                                                           fffff80002bf0042 4 bytes [00, 00, 00, 00]

---- User code sections - GMER 2.1 ----

.text     C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe[1624] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000075e51465 2 bytes [E5, 75]
.text     C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe[1624] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe[1712] C:\Windows\SysWOW64\ntdll.dll!NtProtectVirtualMemory            0000000077480038 5 bytes JMP 000000016e791765
.text     C:\Users\Harald Peters\AppData\Roaming\Dropbox\bin\Dropbox.exe[3608] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 69                                 0000000075e51465 2 bytes [E5, 75]
.text     C:\Users\Harald Peters\AppData\Roaming\Dropbox\bin\Dropbox.exe[3608] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 155                                0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3808] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                 0000000075e51465 2 bytes [E5, 75]
.text     C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe[3808] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[4680] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                          0000000075e51465 2 bytes [E5, 75]
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[4680] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                         0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[1156] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                          0000000075e51465 2 bytes [E5, 75]
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[1156] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                         0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2
.text     C:\Windows\SysWOW64\msiexec.exe[6672] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection                                                                       000000007747fc50 5 bytes JMP 000000007efa1f6f
.text     C:\Windows\SysWOW64\msiexec.exe[6672] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection                                                                     000000007747fc80 5 bytes JMP 000000007efa2014
.text     C:\Windows\SysWOW64\msiexec.exe[6672] C:\Windows\syswow64\ws2_32.dll!GetAddrInfoW                                                                            0000000077024889 5 bytes JMP 000000007efa18c0
.text     C:\Windows\SysWOW64\msiexec.exe[2260] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection                                                                       000000007747fc50 5 bytes JMP 000000007efa1f6f
.text     C:\Windows\SysWOW64\msiexec.exe[2260] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection                                                                     000000007747fc80 5 bytes JMP 000000007efa2014
.text     C:\Windows\SysWOW64\msiexec.exe[2260] C:\Windows\syswow64\ws2_32.dll!GetAddrInfoW                                                                            0000000077024889 5 bytes JMP 000000007efa18c0
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10900] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                         0000000075e51465 2 bytes [E5, 75]
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10900] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                        0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10968] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                         0000000075e51465 2 bytes [E5, 75]
.text     C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[10968] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                        0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2
.text     C:\Program Files (x86)\Evernote\Evernote\Evernote.exe[10364] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                         0000000075e51465 2 bytes [E5, 75]
.text     C:\Program Files (x86)\Evernote\Evernote\Evernote.exe[10364] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                        0000000075e514bb 2 bytes [E5, 75]
.text     ...                                                                                                                                                          * 2

---- Threads - GMER 2.1 ----

Thread    C:\Windows\SysWOW64\msiexec.exe [6672:6408]                                                                                                                  000000007efa3793
Thread    C:\Windows\SysWOW64\msiexec.exe [2260:6544]                                                                                                                  000000007efa3793

---- Registry - GMER 2.1 ----

Reg       HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00037a76b62b                                                                                  
Reg       HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00037a76b62b (not active ControlSet)                                                              

---- EOF - GMER 2.1 ----
         
--- --- ---
FRST.txt

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-10-2013
Ran by Harald Peters (administrator) on HP-LIFEBOOKP-1 on 20-10-2013 18:56:40
Running from C:\Users\Harald Peters\Desktop
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
(Dropbox, Inc.) C:\Users\Harald Peters\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(Dr. J. Rathlev, D-24222 Schwentinental) C:\Program Files (x86)\Personal Backup 5\Persbackup.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\system32\Macromed\Flash\FlashUtil64_11_9_900_117_ActiveX.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [ ] ()
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\klogon: C:\Windows\system32\klogon.dll (Kaspersky Lab ZAO)
MountPoints2: {02260935-1c93-11e3-b9a8-001742f2b0eb} - G:\HTC_Sync_Manager_PC.exe
HKLM-x32\...\Run: [AVP] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-18] (Adobe Systems Incorporated)
Startup: C:\Users\Harald Peters\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Harald Peters\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\Harald Peters\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\Harald Peters\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Persbackup.lnk
ShortcutTarget: Persbackup.lnk -> C:\Program Files (x86)\Personal Backup 5\Persbackup.exe (Dr. J. Rathlev, D-24222 Schwentinental)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x6100EDFE1AF7CD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: Evernote extension - {92EF2EAD-A7CE-4424-B0DB-499CF856608E} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
Toolbar: HKLM -  No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -  No File
Toolbar: HKLM-x32 -  No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -  No File
Tcpip\Parameters: [DhcpNameServer] 217.0.43.17 217.0.43.49

Chrome: 
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"]},"first_run_tabs":["hxxp://www.google.com/","hxxp://welcome_page"

==================== Services (Whitelisted) =================

R2 AVP; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
R2 HPSLPSVC; C:\Users\HARALD~1\AppData\Local\Temp\7zS1A95\hpslpsvc64.dll [1039360 2012-11-14] (Hewlett-Packard Co.)
R2 StarMoney 8.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)

==================== Drivers (Whitelisted) ====================

R0 KL1; C:\Windows\System32\DRIVERS\kl1.sys [464176 2011-08-18] (Kaspersky Lab ZAO)
R1 kl2; C:\Windows\System32\DRIVERS\kl2.sys [13616 2011-08-18] (Kaspersky Lab ZAO)
R1 KLFLTDEV; C:\Windows\System32\DRIVERS\klfltdev.sys [58672 2012-04-03] (Kaspersky Lab)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [636720 2012-05-14] (Kaspersky Lab)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [32048 2011-09-01] (Kaspersky Lab ZAO)
S3 rstescu; C:\Windows\system32\drivers\rstescu.sys [607256 2011-03-25] (Intel Corporation)
S3 rstescu1; C:\Windows\system32\drivers\rstescu1.sys [607256 2011-03-25] (Intel Corporation)
R0 rstfltr; C:\Windows\System32\drivers\rstfltr.sys [22552 2011-03-25] (Intel Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:55 - 2013-10-20 18:56 - 01954548 _____ (Farbar) C:\Users\Harald Peters\Desktop\FRST64.exe
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\Harald Peters\Desktop\gmer.txt
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\Harald Peters\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\Harald Peters\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\Harald Peters\defogger_reenable
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\Harald Peters\Desktop\Defogger.exe

==================== One Month Modified Files and Folders =======

2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:56 - 2013-10-20 18:55 - 01954548 _____ (Farbar) C:\Users\Harald Peters\Desktop\FRST64.exe
2013-10-20 18:54 - 2013-03-24 15:36 - 00000000 ____D C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition
2013-10-20 18:54 - 2013-01-16 15:14 - 01523313 _____ C:\Windows\WindowsUpdate.log
2013-10-20 18:52 - 2013-01-19 18:08 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2013-10-20 18:50 - 2013-01-27 17:09 - 00000000 ____D C:\Users\Harald Peters\AppData\Roaming\Dropbox
2013-10-20 18:49 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-20 18:49 - 2009-07-14 06:51 - 00042612 _____ C:\Windows\setupact.log
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\Harald Peters\Desktop\gmer.txt
2013-10-20 18:47 - 2013-02-16 10:35 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\Harald Peters\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\Harald Peters\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\Harald Peters\defogger_reenable
2013-10-20 18:29 - 2013-01-16 15:28 - 00000000 ____D C:\Users\Harald Peters
2013-10-20 18:29 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-20 18:29 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\Harald Peters\Desktop\Defogger.exe
2013-10-20 12:33 - 2013-02-16 10:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-10-20 12:33 - 2013-01-27 16:57 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-10-20 12:33 - 2013-01-27 16:57 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-10-08 16:09 - 2013-01-19 18:08 - 00000000 ____D C:\Program Files (x86)\Kaspersky Lab
2013-10-07 17:05 - 2013-01-17 00:09 - 00643866 _____ C:\Windows\system32\perfh007.dat
2013-10-07 17:05 - 2013-01-17 00:09 - 00126394 _____ C:\Windows\system32\perfc007.dat
2013-10-07 17:05 - 2009-07-14 07:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-09-22 15:33 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\rescache

Some content of TEMP:
====================
C:\Users\Harald Peters\AppData\Local\Temp\ose00000.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-20 15:19

==================== End Of Log ============================
         
--- --- ---


Addition.txt
Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 19-10-2013
Ran by Harald Peters at 2013-10-20 18:58:08
Running from C:\Users\Harald Peters\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Kaspersky Endpoint Security 8 für Windows (Enabled - Up to date) {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
AS: Kaspersky Endpoint Security 8 für Windows (Enabled - Up to date) {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Kaspersky Endpoint Security 8 für Windows (Enabled) {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}

==================== Installed Programs ======================

7-Zip 9.20 (x64 edition) (Version: 9.20.00.0)
Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.117)
Adobe Reader XI (11.0.02) - Deutsch (x32 Version: 11.0.02)
Audacity 2.0.3 (x32 Version: 2.0.3)
CANON iMAGE GATEWAY MyCamera Download Plugin (x32 Version: 3.1.0.1)
Canon MOV Decoder (x32 Version: 1.7.0.6)
Canon Utilities CameraWindow DC 8 (x32 Version: 8.3.0.6)
Canon Utilities CameraWindow Launcher (x32 Version: 7.5.0.2)
Canon Utilities Movie Uploader for YouTube (x32 Version: 1.1.0.4)
Canon Utilities MyCamera (x32 Version: 7.4.0.2)
Canon Utilities PhotoStitch (x32 Version: 3.1.22.46)
Dropbox (HKCU Version: 2.0.22)
ElsterFormular (x32 Version: 14.1.11318)
Evernote v. 4.6.2 (x32 Version: 4.6.2.7927)
FreeCommander 2009.02b (x32 Version: 2009.02)
FreeFileSync 5.11 (x32 Version: 5.11)
Intel(R) Graphics Media Accelerator Driver (Version: 8.15.10.1930)
Kaspersky Endpoint Security 8 für Windows (Version: 8.1.0.831)
LAME v3.99.3 (for Windows) (x32)
Microsoft Office Access MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Excel MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Groove MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office InfoPath MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Office 64-bit Components 2010 (Version: 14.0.4763.1000)
Microsoft Office OneNote MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Outlook MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office PowerPoint MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Proof (English) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Proof (French) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Proof (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Proof (Italian) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Proofing (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Publisher MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Shared 64-bit MUI (German) 2010 (Version: 14.0.4763.1000)
Microsoft Office Shared MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Office Word MUI (German) 2010 (x32 Version: 14.0.4763.1000)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161)
MozBackup 1.5.1 (x32)
Mozilla Maintenance Service (x32 Version: 17.0.2)
Mozilla Thunderbird 17.0.2 (x86 de) (x32 Version: 17.0.2)
Paragon Partition Manager™ 12 Free (x32 Version: 90.00.0003)
Personal Backup 5.4 (x32 Version: 5.3)
RippMe (x32 Version: 3.04)
StarMoney (x32 Version: 3.0.2.50)
StarMoney 8.0 Commerzbank-Edition (x32 Version: 8.0)
TagScanner 5.1.630 (x32)
XnView 1.99.6 (x32 Version: 1.99.6)

==================== Restore Points  =========================


==================== Hosts content: ==========================

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {5BBB019E-790D-408A-9070-32E1AFF8C76F} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-10-20] (Adobe Systems Incorporated)
Task: {9EB05833-90E1-4A32-873F-CBEB27C82135} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-23] (Microsoft Corporation)
Task: {E2BE61A0-8A00-4DD0-A38B-77883F7C2448} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2010-01-30 03:40 - 2010-01-30 03:40 - 04254560 _____ () C:\Program Files\Common Files\Microsoft Shared\OFFICE14\Cultures\OFFICE.ODF
2013-03-24 15:41 - 2011-01-13 12:44 - 00232800 _____ () C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\PATCHW32.dll
2013-03-13 22:48 - 2013-03-13 22:48 - 24978944 _____ () C:\Users\Harald Peters\AppData\Roaming\Dropbox\bin\libcef.dll
2012-09-08 13:16 - 2012-09-08 13:16 - 00433664 _____ () C:\Program Files (x86)\Evernote\Evernote\libxml2.dll
2012-09-08 13:16 - 2012-09-08 13:16 - 00315392 _____ () C:\Program Files (x86)\Evernote\Evernote\libtidy.dll
2012-04-17 12:13 - 2012-04-17 12:13 - 00283024 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\am_facade.dll
2012-04-17 12:13 - 2012-04-17 12:13 - 01225104 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\enterprise_application_control.dll
2012-04-17 12:13 - 2012-04-17 12:13 - 00430480 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\FileCategorizer.dll
2012-04-17 12:14 - 2012-04-17 12:14 - 00143760 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\sax_xml_parser.dll
2012-04-17 12:15 - 2012-04-17 12:15 - 00278928 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\device_control_task.ppl
2012-04-17 12:16 - 2012-04-17 12:16 - 00463248 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\WebControlTask.ppl
2012-04-17 12:13 - 2012-04-17 12:13 - 00262544 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\device_control.dll
2012-04-17 12:14 - 2012-04-17 12:14 - 00311696 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\network_services.dll
2012-04-17 12:13 - 2012-04-17 12:13 - 00422288 _____ () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\categorizer_facade.dll

==================== Alternate Data Streams (whitelisted) =========

AlternateDataStreams: C:\Boot.BAK:KAVICHS
AlternateDataStreams: C:\fpRedmon.log:KAVICHS
AlternateDataStreams: C:\SerialSync.txt:KAVICHS
AlternateDataStreams: C:\update.phone-setup.log:KAVICHS

==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Fingerprint Sensor
Description: Fingerprint Sensor
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (10/20/2013 06:50:38 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/08/2013 08:09:50 PM) (Source: Application Error) (User: )
Description: Aus einem der folgenden Gründe kann nicht auf die Datei "" zugegriffen werden:
Es besteht ein Problem mit der Netzwerkverbindung, dem Datenträger mit der gespeicherten Datei bzw. den auf dem Computer installierten
Speichertreibern, oder der Datenträger fehlt.
Das Programm Windows Media Player-Netzwerkfreigabedienst wurde wegen dieses Fehlers geschlossen.

Programm: Windows Media Player-Netzwerkfreigabedienst
Datei: 

Der Fehlerwert ist im Abschnitt "Zusätzliche Dateien" aufgelistet.
Benutzeraktion
1. Öffnen Sie die Datei erneut.
Diese Situation ist eventuell ein temporäres Problem, das selbstständig behoben wird, wenn das Programm erneut ausgeführt wird.
2.
Wenn Sie weiterhin nicht auf die Datei zugreifen können und
	- diese sich im Netzwerk befindet, 
dann sollte der Netzwerkadministrator überprüfen, dass kein Netzwerkproblem besteht und dass eine Verbindung mit dem Server hergestellt werden kann.
	- diese sich auf einem Wechseldatenträger, wie z. B. einer Diskette oder einer CD, befindet, überprüfen Sie, ob der Datenträger richtig in den Computer eingelegt ist.
3. Überprüfen und reparieren Sie das Dateisystem, indem Sie CHKDSK ausführen. Klicken Sie dazu im Menü "Start" auf "Ausführen", geben Sie CMD ein, und klicken Sie auf "OK". Geben Sie an der Eingabeaufforderung CHKDSK /F ein, und drücken Sie die EINGABETASTE.
4. Stellen Sie die Datei von einer Sicherungskopie wieder her, wenn das Problem weiterhin besteht.
5. Überprüfen Sie, ob andere Dateien auf demselben Datenträger geöffnet werden können. Falls dies nicht möglich ist, ist der Datenträger eventuell beschädigt. 
Wenden Sie sich an den Administrator oder den Hersteller der Computerhardware, um weitere Unterstützung zu erhalten, wenn es sich um eine Festplatte handelt.

Zusätzliche Daten
Fehlerwert: C000000E
Datenträgertyp: 0

Error: (10/08/2013 08:09:50 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: wmpnetwk.exe, Version: 12.0.7601.17514, Zeitstempel: 0x4ce7ae7f
Name des fehlerhaften Moduls: GDI32.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c651
Ausnahmecode: 0xc0000006
Fehleroffset: 0x0000000000013164
ID des fehlerhaften Prozesses: 0xa84
Startzeit der fehlerhaften Anwendung: 0xwmpnetwk.exe0
Pfad der fehlerhaften Anwendung: wmpnetwk.exe1
Pfad des fehlerhaften Moduls: wmpnetwk.exe2
Berichtskennung: wmpnetwk.exe3

Error: (09/24/2013 07:00:31 AM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: wmpnetwk.exe, Version: 12.0.7601.17514, Zeitstempel: 0x4ce7ae7f
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.18229, Zeitstempel: 0x51fb164a
Ausnahmecode: 0xc0000374
Fehleroffset: 0x00000000000c4102
ID des fehlerhaften Prozesses: 0xcc4
Startzeit der fehlerhaften Anwendung: 0xwmpnetwk.exe0
Pfad der fehlerhaften Anwendung: wmpnetwk.exe1
Pfad des fehlerhaften Moduls: wmpnetwk.exe2
Berichtskennung: wmpnetwk.exe3

Error: (09/13/2013 06:41:03 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (07/30/2013 03:31:16 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (06/16/2013 05:30:54 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/24/2013 05:17:14 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/20/2013 10:30:44 AM) (Source: .NET Runtime Optimization Service) (User: )
Description: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Failed to compile: Microsoft.Build.Tasks, Version=2.0.0.0, Culture=Neutral, PublicKeyToken=b03f5f7f11d50a3a, processorArchitecture=msil . Error code = 0x80070005

Error: (05/19/2013 06:17:18 PM) (Source: WinMgmt) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


System errors:
=============
Error: (10/20/2013 06:49:26 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎20.‎10.‎2013 um 18:47:33 unerwartet heruntergefahren.

Error: (10/20/2013 06:49:13 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden gelöscht, weil der Schattenkopiespeicher nicht rechtzeitig vergrößert wurde. Sie sollten die E/A-Last auf dem System verringern oder ein Schattenkopie-Speichervolume, von dem keine Schattenkopie erstellt wird, auswählen.

Error: (10/08/2013 08:09:55 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (10/06/2013 08:33:56 AM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Netman erreicht.

Error: (09/24/2013 07:00:52 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (09/13/2013 06:40:11 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎13.‎09.‎2013 um 18:38:21 unerwartet heruntergefahren.

Error: (09/13/2013 06:39:58 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden gelöscht, weil der Schattenkopiespeicher nicht rechtzeitig vergrößert wurde. Sie sollten die E/A-Last auf dem System verringern oder ein Schattenkopie-Speichervolume, von dem keine Schattenkopie erstellt wird, auswählen.

Error: (08/27/2013 05:23:38 PM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst lmhosts erreicht.

Error: (08/11/2013 10:46:27 AM) (Source: DCOM) (User: HP-LifebookP-1)
Description: ComputerstandardLokalAktivierung{9BA05972-F6A8-11CF-A442-00A0C90A8F39}{9BA05972-F6A8-11CF-A442-00A0C90A8F39}HP-LifebookP-1Harald PetersS-1-5-21-3220388816-3851943047-4274909068-1000LocalHost (unter Verwendung von LRPC)

Error: (07/30/2013 03:30:10 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎30.‎07.‎2013 um 15:27:54 unerwartet heruntergefahren.


Microsoft Office Sessions:
=========================
Error: (10/20/2013 06:50:38 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/08/2013 08:09:50 PM) (Source: Application Error)(User: )
Description: Windows Media Player-NetzwerkfreigabedienstC000000E0

Error: (10/08/2013 08:09:50 PM) (Source: Application Error)(User: )
Description: wmpnetwk.exe12.0.7601.175144ce7ae7fGDI32.dll6.1.7601.175144ce7c651c00000060000000000013164a8401ceb8e31cde01caC:\Program Files\Windows Media Player\wmpnetwk.exeC:\Windows\system32\GDI32.dlld266ece8-3044-11e3-b9a8-001742f2b0eb

Error: (09/24/2013 07:00:31 AM) (Source: Application Error)(User: )
Description: wmpnetwk.exe12.0.7601.175144ce7ae7fntdll.dll6.1.7601.1822951fb164ac000037400000000000c4102cc401ceb0a0389650aeC:\Program Files\Windows Media Player\wmpnetwk.exeC:\Windows\SYSTEM32\ntdll.dll3c507e18-24d6-11e3-b9a8-001742f2b0eb

Error: (09/13/2013 06:41:03 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (07/30/2013 03:31:16 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (06/16/2013 05:30:54 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/24/2013 05:17:14 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (05/20/2013 10:30:44 AM) (Source: .NET Runtime Optimization Service)(User: )
Description: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Failed to compile: Microsoft.Build.Tasks, Version=2.0.0.0, Culture=Neutral, PublicKeyToken=b03f5f7f11d50a3a, processorArchitecture=msil . Error code = 0x80070005 
Microsoft.Build.Tasks, Version=2.0.0.0, Culture=Neutral, PublicKeyToken=b03f5f7f11d50a3a, processorArchitecture=msil

Error: (05/19/2013 06:17:18 PM) (Source: WinMgmt)(User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


==================== Memory info =========================== 

Percentage of memory in use: 40%
Total physical RAM: 4086.36 MB
Available physical RAM: 2431 MB
Total Pagefile: 8170.91 MB
Available Pagefile: 6465.51 MB
Total Virtual: 8192 MB
Available Virtual: 8191.82 MB

==================== Drives ================================

Drive c: (SYSTEM) (Fixed) (Total:78.58 GB) (Free:39.55 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATEN) (Fixed) (Total:70.46 GB) (Free:65.31 GB) NTFS
Drive f: (DATEN-2) (Fixed) (Total:596.17 GB) (Free:497.78 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: A2A7A2A7)
Partition 1: (Active) - (Size=79 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=70 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 596 GB) (Disk ID: 49962155)
Partition 1: (Active) - (Size=596 GB) - (Type=07 NTFS)

==================== End Of Log ============================
         
Viel Erfolg bei der Suche
Tom


Alt 20.10.2013, 22:35   #6
Bootsektor
/// TB-Ausbilder
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Tom,
seit wann hast Du diese Web-Antivirus-Meldungen von Kaspersky? Sind die neu?

Schritt 1
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2
Starte noch einmal FRST.
  • Ändere keine der Voreinstellungen und drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Alt 21.10.2013, 19:22   #7
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Sandra,

die Kaspersky-Meldung ist zwar vom 08.10.2013, ca. 17:00 Uhr, und somit bereits einige Tage her. Defacto ist dies aber vorgestern, da ich vom 09. bis 19.10.2013 nicht in D war und in dieser Zeit der Rechner vollkommen stromlos war.

Gestern habe ich allerdings mir den in meinem ersten Post beschriebenen Bericht von Kaspersky noch einmal angesehen. Auch gestern versucht wohl der Trojaner sich im Fünf-Minuten-Rhythmus zu installieren.

Die jeweilige Zeile im Bericht lautet auch gestern:
Ereignisdatum: <Datum/Uhrzeit>
Bezeichnung: Verboten
Programm: Windows(r)Installer
Ergebnis: VerbotenFDFD25B6900A1D5 (mit der Datenbank für verdächtige Webadressen untersuchen)
Objekt: hxxp://dotier.net/zeta.php

Gerne führe ich noch die beiden beschriebenen Schritte durch, kann dies aber erst heute am späten Abend erledigen.

Tom

Hallo Sandra,

... und hier jetzt die benötigten Log-Dateien.

Combofix.txt
Code:
ATTFilter
Combofix Logfile:
Code:
ATTFilter
ComboFix 13-10-21.01 - TomWSch 21.10.2013  19:42:48.1.2 - x64
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.4086.2734 [GMT 2:00]
ausgeführt von:: c:\users\TomWSch\Desktop\ComboFix.exe
AV: Kaspersky Endpoint Security 8 für Windows *Disabled/Updated* {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
FW: Kaspersky Endpoint Security 8 für Windows *Disabled* {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}
SP: Kaspersky Endpoint Security 8 für Windows *Disabled/Updated* {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\TomWSch\AppData\Local\Temp\7zS1A95\HPSLPSVC64.DLL
c:\users\Tom~1\AppData\Local\Temp\7zS1A95\HPSLPSVC64.DLL
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_HPSLPSVC
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-09-21 bis 2013-10-21  ))))))))))))))))))))))))))))))
.
.
2013-10-21 17:54 . 2013-10-21 17:54	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-10-20 16:56 . 2013-10-20 16:56	--------	d-----w-	C:\FRST
2013-09-22 13:23 . 2013-09-22 13:23	76232	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{56203436-DCCF-49EB-B9FE-5502C96C796A}\offreg.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-10-20 10:33 . 2013-01-27 14:57	692616	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-10-20 10:33 . 2013-01-27 14:57	71048	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-09-01 15:08 . 2013-01-20 12:39	79143768	----a-w-	c:\windows\system32\MRT.exe
2013-08-19 22:46 . 2013-09-13 16:17	9515512	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{56203436-DCCF-49EB-B9FE-5502C96C796A}\mpengine.dll
2013-08-10 05:22 . 2013-09-13 16:24	51712	----a-w-	c:\windows\system32\ie4uinit.exe
2013-08-10 05:22 . 2013-09-13 16:24	2241024	----a-w-	c:\windows\system32\wininet.dll
2013-08-10 05:22 . 2013-09-13 16:24	1365504	----a-w-	c:\windows\system32\urlmon.dll
2013-08-10 05:21 . 2013-09-13 16:24	19246592	----a-w-	c:\windows\system32\mshtml.dll
2013-08-10 05:21 . 2013-09-13 16:24	603136	----a-w-	c:\windows\system32\msfeeds.dll
2013-08-10 05:21 . 2013-09-13 16:24	53248	----a-w-	c:\windows\system32\jsproxy.dll
2013-08-10 05:20 . 2013-09-13 16:24	855552	----a-w-	c:\windows\system32\jscript.dll
2013-08-10 05:20 . 2013-09-13 16:24	3959296	----a-w-	c:\windows\system32\jscript9.dll
2013-08-10 05:20 . 2013-09-13 16:24	526336	----a-w-	c:\windows\system32\ieui.dll
2013-08-10 05:20 . 2013-09-13 16:24	67072	----a-w-	c:\windows\system32\iesetup.dll
2013-08-10 05:20 . 2013-09-13 16:24	39936	----a-w-	c:\windows\system32\iernonce.dll
2013-08-10 05:20 . 2013-09-13 16:24	136704	----a-w-	c:\windows\system32\iesysprep.dll
2013-08-10 05:20 . 2013-09-13 16:24	2647040	----a-w-	c:\windows\system32\iertutil.dll
2013-08-10 05:20 . 2013-09-13 16:24	15404544	----a-w-	c:\windows\system32\ieframe.dll
2013-08-10 03:59 . 2013-09-13 16:24	1767936	----a-w-	c:\windows\SysWow64\wininet.dll
2013-08-10 03:58 . 2013-09-13 16:24	2876928	----a-w-	c:\windows\SysWow64\jscript9.dll
2013-08-10 03:58 . 2013-09-13 16:24	61440	----a-w-	c:\windows\SysWow64\iesetup.dll
2013-08-10 03:58 . 2013-09-13 16:24	109056	----a-w-	c:\windows\SysWow64\iesysprep.dll
2013-08-10 03:17 . 2013-09-13 16:24	2706432	----a-w-	c:\windows\system32\mshtml.tlb
2013-08-10 03:07 . 2013-09-13 16:24	2706432	----a-w-	c:\windows\SysWow64\mshtml.tlb
2013-08-10 02:27 . 2013-09-13 16:24	89600	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2013-08-10 02:17 . 2013-09-13 16:24	71680	----a-w-	c:\windows\SysWow64\RegisterIEPKEYs.exe
2013-08-08 01:20 . 2013-09-13 16:12	3155456	----a-w-	c:\windows\system32\win32k.sys
2013-08-07 02:22 . 2010-11-21 03:27	278800	------w-	c:\windows\system32\MpSigStub.exe
2013-08-02 02:23 . 2013-09-13 16:13	5550528	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-08-02 02:15 . 2013-09-13 16:13	1732032	----a-w-	c:\windows\system32\ntdll.dll
2013-08-02 02:15 . 2013-09-13 16:13	362496	----a-w-	c:\windows\system32\wow64win.dll
2013-08-02 02:15 . 2013-09-13 16:13	243712	----a-w-	c:\windows\system32\wow64.dll
2013-08-02 02:15 . 2013-09-13 16:13	13312	----a-w-	c:\windows\system32\wow64cpu.dll
2013-08-02 02:14 . 2013-09-13 16:13	215040	----a-w-	c:\windows\system32\winsrv.dll
2013-08-02 02:14 . 2013-09-13 16:13	16384	----a-w-	c:\windows\system32\ntvdm64.dll
2013-08-02 02:13 . 2013-09-13 16:13	424448	----a-w-	c:\windows\system32\KernelBase.dll
2013-08-02 02:13 . 2013-09-13 16:13	1161216	----a-w-	c:\windows\system32\kernel32.dll
2013-08-02 02:12 . 2013-09-13 16:13	43520	----a-w-	c:\windows\system32\csrsrv.dll
2013-08-02 02:12 . 2013-09-13 16:13	6144	---ha-w-	c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	4608	---ha-w-	c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	6656	----a-w-	c:\windows\system32\apisetschema.dll
2013-08-02 02:12 . 2013-09-13 16:13	4608	---ha-w-	c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	5120	---ha-w-	c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2013-08-02 02:12 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2013-08-02 01:59 . 2013-09-13 16:13	3968960	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2013-08-02 01:59 . 2013-09-13 16:13	3913664	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2013-08-02 01:51 . 2013-09-13 16:13	1292192	----a-w-	c:\windows\SysWow64\ntdll.dll
2013-08-02 01:50 . 2013-09-13 16:13	274944	----a-w-	c:\windows\SysWow64\KernelBase.dll
2013-08-02 01:50 . 2013-09-13 16:13	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2013-08-02 01:48 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	5120	---ha-w-	c:\windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	4608	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	6656	----a-w-	c:\windows\SysWow64\apisetschema.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
2013-08-02 01:48 . 2013-09-13 16:13	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2013-08-02 01:09 . 2013-09-13 16:13	338432	----a-w-	c:\windows\system32\conhost.exe
2013-08-02 00:59 . 2013-09-13 16:13	112640	----a-w-	c:\windows\system32\smss.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\TomWSch\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\TomWSch\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\TomWSch\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\program files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe" [2013-02-07 515888]
"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
.
c:\users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-5-25 27776968]
EvernoteClipper.lnk - c:\program files (x86)\Evernote\Evernote\EvernoteClipper.exe [2013-1-29 1078624]
Persbackup.lnk - c:\program files (x86)\Personal Backup 5\Persbackup.exe /auto [2013-3-9 6123008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys;c:\windows\SYSNATIVE\drivers\dmvsc.sys [x]
R3 rstescu;rstescu;c:\windows\system32\drivers\rstescu.sys;c:\windows\SYSNATIVE\drivers\rstescu.sys [x]
R3 rstescu1;rstescu1;c:\windows\system32\drivers\rstescu1.sys;c:\windows\SYSNATIVE\drivers\rstescu1.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
S0 rstfltr;rstfltr;c:\windows\system32\drivers\rstfltr.sys;c:\windows\SYSNATIVE\drivers\rstfltr.sys [x]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys;c:\windows\SYSNATIVE\DRIVERS\kl2.sys [x]
S1 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys;c:\windows\SYSNATIVE\DRIVERS\klfltdev.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys;c:\windows\SYSNATIVE\DRIVERS\klim6.sys [x]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\program files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe;c:\program files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [x]
S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series - Adaptertreiber für Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys;c:\windows\SYSNATIVE\DRIVERS\netw5v64.sys [x]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x64.sys;c:\windows\SYSNATIVE\DRIVERS\yk62x64.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-10-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-01-27 10:33]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\TomWSch\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\TomWSch\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\TomWSch\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\TomWSch\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 165912]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 385560]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 363544]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
uSearchAssistant = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE: An OneNote s&enden - c:\progra~3\MICROS~1\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~3\MICROS~1\Office14\EXCEL.EXE/3000
IE: Neue Notiz - c:\program files (x86)\Evernote\Evernote\\EvernoteIERes\NewNote.html
IE: Zu Evernote 4 hinzufügen - c:\program files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html
TCP: DhcpNameServer = 217.0.43.17 217.0.43.49
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_9_900_117_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_9_900_117_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_9_900_117.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_9_900_117.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_9_900_117.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_9_900_117.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-10-21  20:05:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-10-21 18:05
.
Vor Suchlauf: 9 Verzeichnis(se), 42.235.375.616 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 42.757.173.248 Bytes frei
.
- - End Of File - - 67E954CD2267246D7CB7684C49671C07
         
--- --- ---

FRST.txt

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-10-2013
Ran by TomWSch (administrator) on HP-LIFEBOOKP-1 on 21-10-2013 20:11:17
Running from C:\Users\TomWSch\Desktop
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [ ] ()
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\klogon: C:\Windows\system32\klogon.dll (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [AVP] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-18] (Adobe Systems Incorporated)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Persbackup.lnk
ShortcutTarget: Persbackup.lnk -> C:\Program Files (x86)\Personal Backup 5\Persbackup.exe (Dr. J. Rathlev, D-24222 Schwentinental)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x6100EDFE1AF7CD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=a5e19c4d-d5e8-4799-92f0-4d154cd52331&affid=113129&searchtype=ds&babsrc=lnkry&q={searchTerms}
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: Evernote extension - {92EF2EAD-A7CE-4424-B0DB-499CF856608E} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
Toolbar: HKLM -  No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -  No File
Toolbar: HKLM-x32 -  No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} -  No File
Tcpip\Parameters: [DhcpNameServer] 217.0.43.17 217.0.43.49

Chrome: 
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"]},"first_run_tabs":["hxxp://www.google.com/","hxxp://welcome_page"

==================== Services (Whitelisted) =================

R2 AVP; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
R2 StarMoney 8.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)

==================== Drivers (Whitelisted) ====================

R0 KL1; C:\Windows\System32\DRIVERS\kl1.sys [464176 2011-08-18] (Kaspersky Lab ZAO)
R1 kl2; C:\Windows\System32\DRIVERS\kl2.sys [13616 2011-08-18] (Kaspersky Lab ZAO)
R1 KLFLTDEV; C:\Windows\System32\DRIVERS\klfltdev.sys [58672 2012-04-03] (Kaspersky Lab)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [636720 2012-05-14] (Kaspersky Lab)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [32048 2011-09-01] (Kaspersky Lab ZAO)
S3 rstescu; C:\Windows\system32\drivers\rstescu.sys [607256 2011-03-25] (Intel Corporation)
S3 rstescu1; C:\Windows\system32\drivers\rstescu1.sys [607256 2011-03-25] (Intel Corporation)
R0 rstfltr; C:\Windows\System32\drivers\rstfltr.sys [22552 2011-03-25] (Intel Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-21 20:05 - 2013-10-21 20:10 - 00023973 _____ C:\ComboFix.txt
2013-10-21 20:05 - 2013-10-21 20:05 - 00024048 _____ C:\ComboFixOri.txt
2013-10-21 19:39 - 2013-10-21 20:06 - 00000000 ____D C:\Qoobox
2013-10-21 19:39 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-10-21 19:39 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-10-21 19:39 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-10-21 19:38 - 2013-10-21 20:00 - 00000000 ____D C:\Windows\erdnt
2013-10-21 19:35 - 2013-10-21 19:36 - 05136138 ____R (Swearware) C:\Users\TomWSch\Desktop\ComboFix.exe
2013-10-20 18:59 - 2013-10-20 19:00 - 00011690 _____ C:\Users\TomWSch\Desktop\FRST1.txt
2013-10-20 18:58 - 2013-10-20 18:59 - 00019031 _____ C:\Users\TomWSch\Desktop\Addition.txt
2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:55 - 2013-10-20 18:56 - 01954548 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\TomWSch\Desktop\gmer.txt
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\TomWSch\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\TomWSch\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\TomWSch\defogger_reenable
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\TomWSch\Desktop\Defogger.exe

==================== One Month Modified Files and Folders =======

2013-10-21 20:10 - 2013-10-21 20:05 - 00023973 _____ C:\ComboFix.txt
2013-10-21 20:06 - 2013-10-21 19:39 - 00000000 ____D C:\Qoobox
2013-10-21 20:06 - 2009-07-14 05:20 - 00000000 __RHD C:\Users\Default
2013-10-21 20:05 - 2013-10-21 20:05 - 00024048 _____ C:\ComboFixOri.txt
2013-10-21 20:04 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-21 20:04 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-21 20:00 - 2013-10-21 19:38 - 00000000 ____D C:\Windows\erdnt
2013-10-21 20:00 - 2013-01-16 15:14 - 01529855 _____ C:\Windows\WindowsUpdate.log
2013-10-21 19:56 - 2013-01-19 18:08 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2013-10-21 19:56 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-21 19:56 - 2009-07-14 06:51 - 00042668 _____ C:\Windows\setupact.log
2013-10-21 19:56 - 2009-07-14 04:34 - 00000215 _____ C:\Windows\system.ini
2013-10-21 19:55 - 2010-11-21 05:47 - 00015466 _____ C:\Windows\PFRO.log
2013-10-21 19:55 - 2009-07-14 04:34 - 60030976 _____ C:\Windows\system32\config\SOFTWARE.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 14155776 _____ C:\Windows\system32\config\SYSTEM.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\SECURITY.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\SAM.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\DEFAULT.bak
2013-10-21 19:47 - 2013-02-16 10:35 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-10-21 19:36 - 2013-10-21 19:35 - 05136138 ____R (Swearware) C:\Users\TomWSch\Desktop\ComboFix.exe
2013-10-21 19:30 - 2013-01-27 17:09 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Dropbox
2013-10-20 19:04 - 2013-01-17 00:09 - 00643866 _____ C:\Windows\system32\perfh007.dat
2013-10-20 19:04 - 2013-01-17 00:09 - 00126394 _____ C:\Windows\system32\perfc007.dat
2013-10-20 19:04 - 2009-07-14 07:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-20 19:00 - 2013-10-20 18:59 - 00011690 _____ C:\Users\TomWSch\Desktop\FRST1.txt
2013-10-20 18:59 - 2013-10-20 18:58 - 00019031 _____ C:\Users\TomWSch\Desktop\Addition.txt
2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:56 - 2013-10-20 18:55 - 01954548 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2013-10-20 18:54 - 2013-03-24 15:36 - 00000000 ____D C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\TomWSch\Desktop\gmer.txt
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\TomWSch\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\TomWSch\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\TomWSch\defogger_reenable
2013-10-20 18:29 - 2013-01-16 15:28 - 00000000 ____D C:\Users\TomWSch
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\TomWSch\Desktop\Defogger.exe
2013-10-20 12:33 - 2013-02-16 10:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-10-20 12:33 - 2013-01-27 16:57 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-10-20 12:33 - 2013-01-27 16:57 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-10-08 16:09 - 2013-01-19 18:08 - 00000000 ____D C:\Program Files (x86)\Kaspersky Lab
2013-09-22 15:33 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\rescache

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-20 15:19

==================== End Of Log ============================
         
--- --- ---

--- --- ---



Grüße
Tom

Alt 21.10.2013, 22:56   #8
Bootsektor
/// TB-Ausbilder
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Tom,
gut gemacht.
Hast Du die Warnungen von Kaspersky nach dem ComboFix-Scan immer noch?
Ich muss nochmal genauer nachschauen. Dazu:

Schritt 1
Downloade Dir von hier HitmanPro
  • Führe die Datei aus.
  • Setze den Haken bei "Nein, ich möchte nur einen Einmalscan zur Überprüfung des Computers ausführen"
  • Wenn HitmanPro den Scan beendet hat, klicke auf Logdatei erstellen, HitmanPro speichert diese Datei im gleichen Verzeichnis aus dem es lief.
  • Wichtig! Klicke nun auf Schließen und nicht auf Weiter.
  • Poste die LogDatei hier in Deinen Thread.

Alt 22.10.2013, 21:53   #9
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Sandra,

heute habe ich zunächst noch einmal eine vollständige Untersuchung meines Rechners mit dem Kaspersky durchgeführt. Das ermutigende Ergebnis lautet:
Untersuchte Objekte: 539483, Es wurden keine Bedrohungen erkannt

Und der Kaspersky-Bericht "Web-Anti-Virus" hat keinen Eintrag mehr. Das bisher alle fünf Minuten zweimal angezeigte Ereignis einer versuchten Installation wird nicht mehr angezeigt.

Trotzdem habe ich anschließend HitmanPro ausgeführt. Das Ergebnis in der Datei HitmanPro_20131022_2235.log lautet:

Code:
ATTFilter
Code:
ATTFilter
HitmanPro 3.7.8.207
www.hitmanpro.com

   Computer name . . . . : HP-LIFEBOOKP-1
   Windows . . . . . . . : 6.1.1.7601.X64/2
   User name . . . . . . : HP-LifebookP-1\TomWSch
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2013-10-22 22:31:51
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 3m 33s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 6

   Objects scanned . . . : 1.350.982
   Files scanned . . . . : 35.401
   Remnants scanned  . . : 430.223 files / 885.358 keys

Potential Unwanted Programs _________________________________________________

   C:\Users\TomWSch\AppData\Roaming\OpenCandy\ (Conduit)
   C:\Users\TomWSch\AppData\Roaming\OpenCandy\288E2FA8E03A4B97A2AC89888D04C10F\ (Conduit)
   C:\Users\TomWSch\AppData\Roaming\OpenCandy\288E2FA8E03A4B97A2AC89888D04C10F\2787.ico (Conduit)
   C:\Users\TomWSch\AppData\Roaming\OpenCandy\288E2FA8E03A4B97A2AC89888D04C10F\EBB77268-338F-4C6A-8590-AD88FED26F4A (Conduit)
   C:\Users\TomWSch\AppData\Roaming\OpenCandy\288E2FA8E03A4B97A2AC89888D04C10F\OCBrowserHelper_1.0.4.106.dll (Conduit)
      Size . . . . . . . : 431.984 bytes
      Age  . . . . . . . : 268.2 days (2013-01-27 17:52:18)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : D9685AB2396C8615DA0A99E3FA846262A08CCD87EB63FDCBBD46D072679C109E
      Product  . . . . . : OpenCandy Install Helper
      Publisher  . . . . : OpenCandy
      Description  . . . : OpenCandy Install Helper
      Version  . . . . . : 1.0.0.2
      Copyright  . . . . : (c) 2011 OpenCandy.  All rights reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 1.0


Cookies _____________________________________________________________________

   C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Cookies\VE7YKNLA.txt
         

Hat ComboFix mein Problem gelöst?

Falls Deine Antwort "Ja" lautet, habe ich noch folgende Fragen.
Ich möchte gerne wissen, was ich bzgl. der Analyse-Werkzeuge machen soll.

Ich habe ja die Programme
Defogger.exe
gmer_2.1.19163.exe
FRST64.exe
ComboFix.exe
hitmanpro_x64.exe
heruntergeladen und ausgeführt.

Haben diese Programme eine Einstellungsänderung bei meinem Rechner vorgenommen, die rückgängig gemacht werden muss?
(Hat Defogger etwas an meinem DVD-Laufwerk geändert?)
Können die Programme und deren Logfiles einfach gelöscht werden oder muss etwas deinstalliert werden?

Grüße
Tom

Alt 22.10.2013, 22:57   #10
Bootsektor
/// TB-Ausbilder
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Tom,
das ist sehr gut. Ja, Combofix hat gut gearbeitet.
Die Tools deinstallieren wir am Schluss der Bereinigung, keine Sorge. Defogger hat nichts an Deinem Laufwerk geändert. Wieso? Hast Du damit aktuell Probleme? Aber wir sind auch noch nicht ganz fertig hier. Du hast da ein bißchen Adware auf dem Rechner, die wir noch entfernen müssen.

Schritt 1
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).


Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.



Schritt 3
Starte noch einmal FRST.
  • Ändere keine der Voreinstellungen und drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Alt 23.10.2013, 19:40   #11
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Sandra,

schön dass wir schon einen guten Stand erreicht haben.

Zum Thema Defogger: ich meinte nur gelesen zu haben, dass der Defogger ein DVD-Laufwerk inaktiv setzt. Wenn dem nicht so ist, umso besser.

Und hier jetzt die Codes:

AdwCleaner[S0].txt
AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v3.010 - Bericht erstellt am 23/10/2013 um 19:25:33
# Updated 20/10/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzername : TomWSch - HP-LIFEBOOKP-1
# Gestartet von : C:\Users\TomWSch\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Users\TomWSch\AppData\Roaming\OpenCandy

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Schlüssel Gelöscht : [x64] HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Wert Gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [ Browser ] *****

-\\ Internet Explorer v10.0.9200.16686

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Search [Default_Search_URL]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Search [SearchAssistant]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [Default]
Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [Default]

-\\ Google Chrome v

[ Datei : C:\Users\TomWSch\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [2617 octets] - [23/10/2013 19:22:54]
AdwCleaner[S0].txt - [1822 octets] - [23/10/2013 19:25:33]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1882 octets] ##########
         
--- --- ---

[/CODE]


JRT.txt
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.7 (10.15.2013:3)
OS: Windows 7 Professional x64
Ran by TomWSch on 23.10.2013 at 19:35:49,98
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 23.10.2013 at 19:57:48,40
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

FRST.txt

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-10-2013
Ran by TomWSch (administrator) on HP-LIFEBOOKP-1 on 23-10-2013 20:30:35
Running from C:\Users\TomWSch\Desktop
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
(Dropbox, Inc.) C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(Dr. J. Rathlev, D-24222 Schwentinental) C:\Program Files (x86)\Personal Backup 5\Persbackup.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) \\?\C:\Windows\system32\wbem\WMIADAP.EXE
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\system32\Macromed\Flash\FlashUtil64_11_9_900_117_ActiveX.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [ ] ()
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\klogon: C:\Windows\system32\klogon.dll (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [AVP] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-18] (Adobe Systems Incorporated)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Persbackup.lnk
ShortcutTarget: Persbackup.lnk -> C:\Program Files (x86)\Personal Backup 5\Persbackup.exe (Dr. J. Rathlev, D-24222 Schwentinental)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x6100EDFE1AF7CD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: Evernote extension - {92EF2EAD-A7CE-4424-B0DB-499CF856608E} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 217.0.43.17 217.0.43.49

Chrome: 
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"]},"first_run_tabs":["hxxp://www.google.com/","hxxp://welcome_page"

==================== Services (Whitelisted) =================

R2 AVP; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
R2 StarMoney 8.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)

==================== Drivers (Whitelisted) ====================

R0 KL1; C:\Windows\System32\DRIVERS\kl1.sys [464176 2011-08-18] (Kaspersky Lab ZAO)
R1 kl2; C:\Windows\System32\DRIVERS\kl2.sys [13616 2011-08-18] (Kaspersky Lab ZAO)
R1 KLFLTDEV; C:\Windows\System32\DRIVERS\klfltdev.sys [58672 2012-04-03] (Kaspersky Lab)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [636720 2012-05-14] (Kaspersky Lab)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [32048 2011-09-01] (Kaspersky Lab ZAO)
S3 rstescu; C:\Windows\system32\drivers\rstescu.sys [607256 2011-03-25] (Intel Corporation)
S3 rstescu1; C:\Windows\system32\drivers\rstescu1.sys [607256 2011-03-25] (Intel Corporation)
R0 rstfltr; C:\Windows\System32\drivers\rstfltr.sys [22552 2011-03-25] (Intel Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-23 19:57 - 2013-10-23 20:23 - 00000627 _____ C:\Users\TomWSch\Desktop\JRT.txt
2013-10-23 19:35 - 2013-10-23 19:35 - 00000000 ____D C:\Windows\ERUNT
2013-10-23 19:34 - 2013-10-23 19:34 - 01033335 _____ (Thisisu) C:\Users\TomWSch\Desktop\JRT.exe
2013-10-23 19:22 - 2013-10-23 19:25 - 00000000 ____D C:\AdwCleaner
2013-10-23 19:19 - 2013-10-23 19:19 - 01060070 _____ C:\Users\TomWSch\Desktop\adwcleaner.exe
2013-10-22 22:35 - 2013-10-22 22:39 - 00004046 _____ C:\Users\TomWSch\Desktop\HitmanPro_20131022_2235.log
2013-10-22 22:28 - 2013-10-22 22:35 - 00000000 ____D C:\ProgramData\HitmanPro
2013-10-22 22:25 - 2013-10-22 22:25 - 10201544 _____ (SurfRight B.V.) C:\Users\TomWSch\Desktop\hitmanpro_x64.exe
2013-10-22 22:20 - 2013-10-22 22:21 - 00302227 _____ C:\Users\TomWSch\Desktop\KasperskyUntersuchungComputer.txt
2013-10-22 18:58 - 2013-10-23 19:21 - 00000446 _____ C:\Users\TomWSch\Desktop\TempText.txt
2013-10-21 20:05 - 2013-10-21 20:10 - 00023973 _____ C:\ComboFix.txt
2013-10-21 20:05 - 2013-10-21 20:05 - 00024048 _____ C:\ComboFixOri.txt
2013-10-21 19:39 - 2013-10-21 20:06 - 00000000 ____D C:\Qoobox
2013-10-21 19:39 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-10-21 19:39 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-10-21 19:39 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-10-21 19:38 - 2013-10-21 20:00 - 00000000 ____D C:\Windows\erdnt
2013-10-21 19:35 - 2013-10-21 19:36 - 05136138 ____R (Swearware) C:\Users\TomWSch\Desktop\ComboFix.exe
2013-10-20 18:59 - 2013-10-20 19:00 - 00011690 _____ C:\Users\TomWSch\Desktop\FRST1.txt
2013-10-20 18:58 - 2013-10-20 18:59 - 00019031 _____ C:\Users\TomWSch\Desktop\Addition.txt
2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:55 - 2013-10-20 18:56 - 01954548 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\TomWSch\Desktop\gmer.txt
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\TomWSch\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\TomWSch\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\TomWSch\defogger_reenable
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\TomWSch\Desktop\Defogger.exe

==================== One Month Modified Files and Folders =======

2013-10-23 20:30 - 2013-01-17 00:09 - 00643866 _____ C:\Windows\system32\perfh007.dat
2013-10-23 20:30 - 2013-01-17 00:09 - 00126394 _____ C:\Windows\system32\perfc007.dat
2013-10-23 20:30 - 2009-07-14 07:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-23 20:26 - 2013-01-19 18:08 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2013-10-23 20:25 - 2013-01-27 17:09 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Dropbox
2013-10-23 20:25 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-23 20:25 - 2009-07-14 06:51 - 00042836 _____ C:\Windows\setupact.log
2013-10-23 20:24 - 2013-01-16 15:14 - 01591282 _____ C:\Windows\WindowsUpdate.log
2013-10-23 20:23 - 2013-10-23 19:57 - 00000627 _____ C:\Users\TomWSch\Desktop\JRT.txt
2013-10-23 19:47 - 2013-02-16 10:35 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-10-23 19:35 - 2013-10-23 19:35 - 00000000 ____D C:\Windows\ERUNT
2013-10-23 19:35 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-23 19:35 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-23 19:34 - 2013-10-23 19:34 - 01033335 _____ (Thisisu) C:\Users\TomWSch\Desktop\JRT.exe
2013-10-23 19:25 - 2013-10-23 19:22 - 00000000 ____D C:\AdwCleaner
2013-10-23 19:21 - 2013-10-22 18:58 - 00000446 _____ C:\Users\TomWSch\Desktop\TempText.txt
2013-10-23 19:19 - 2013-10-23 19:19 - 01060070 _____ C:\Users\TomWSch\Desktop\adwcleaner.exe
2013-10-22 22:39 - 2013-10-22 22:35 - 00004046 _____ C:\Users\TomWSch\Desktop\HitmanPro_20131022_2235.log
2013-10-22 22:35 - 2013-10-22 22:28 - 00000000 ____D C:\ProgramData\HitmanPro
2013-10-22 22:25 - 2013-10-22 22:25 - 10201544 _____ (SurfRight B.V.) C:\Users\TomWSch\Desktop\hitmanpro_x64.exe
2013-10-22 22:21 - 2013-10-22 22:20 - 00302227 _____ C:\Users\TomWSch\Desktop\KasperskyUntersuchungComputer.txt
2013-10-22 18:44 - 2013-03-24 15:36 - 00000000 ____D C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition
2013-10-21 20:10 - 2013-10-21 20:05 - 00023973 _____ C:\ComboFix.txt
2013-10-21 20:06 - 2013-10-21 19:39 - 00000000 ____D C:\Qoobox
2013-10-21 20:06 - 2009-07-14 05:20 - 00000000 __RHD C:\Users\Default
2013-10-21 20:05 - 2013-10-21 20:05 - 00024048 _____ C:\ComboFixOri.txt
2013-10-21 20:00 - 2013-10-21 19:38 - 00000000 ____D C:\Windows\erdnt
2013-10-21 19:56 - 2009-07-14 04:34 - 00000215 _____ C:\Windows\system.ini
2013-10-21 19:55 - 2010-11-21 05:47 - 00015466 _____ C:\Windows\PFRO.log
2013-10-21 19:55 - 2009-07-14 04:34 - 60030976 _____ C:\Windows\system32\config\SOFTWARE.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 14155776 _____ C:\Windows\system32\config\SYSTEM.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\SECURITY.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\SAM.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\DEFAULT.bak
2013-10-21 19:36 - 2013-10-21 19:35 - 05136138 ____R (Swearware) C:\Users\TomWSch\Desktop\ComboFix.exe
2013-10-20 19:00 - 2013-10-20 18:59 - 00011690 _____ C:\Users\TomWSch\Desktop\FRST1.txt
2013-10-20 18:59 - 2013-10-20 18:58 - 00019031 _____ C:\Users\TomWSch\Desktop\Addition.txt
2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:56 - 2013-10-20 18:55 - 01954548 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\TomWSch\Desktop\gmer.txt
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\TomWSch\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\TomWSch\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\TomWSch\defogger_reenable
2013-10-20 18:29 - 2013-01-16 15:28 - 00000000 ____D C:\Users\TomWSch
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\TomWSch\Desktop\Defogger.exe
2013-10-20 12:33 - 2013-02-16 10:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-10-20 12:33 - 2013-01-27 16:57 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-10-20 12:33 - 2013-01-27 16:57 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-10-08 16:09 - 2013-01-19 18:08 - 00000000 ____D C:\Program Files (x86)\Kaspersky Lab

Some content of TEMP:
====================
C:\Users\TomWSch\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-22 20:54

==================== End Of Log ============================
         
--- --- ---


Grüße
Tom

Alt 24.10.2013, 13:38   #12
Bootsektor
/// TB-Ausbilder
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Tom,
noch ein paar Fragen, die Meldungen von Kaspersky bezüglich der Verbindungsversuche, waren die vor oder nach dem Anklicken der .zip Datei. Und hast Du nur die .zip Datei angeklickt, oder dann auch noch die .exe ausgeführt? Was hast du im CombofixLog geändert? Falls Du Deinen Namen editiert hast, musst Du für den Upload bei VirusTotal Deinen Namen exakt wieder so einfügen, ansonsten werden die Dateien nicht gefunden. Und zum Schluss, wie geht es Deinem Rechner, alles gut soweit?
Ich muss eine genauere Analyse der gelöschten Datei von Combofix haben, dazu mache bitte folgendes:

Schritt 1
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Wählen Sie eine
  • Kopiere nun folgendes in die Suchleiste
    Code:
    ATTFilter
    C:\Qoobox\Quarantine\C\users\TomWSch\AppData\Local\Temp\7zS1A95\HPSLPSVC64.DLL.vir
             
  • und klicke auf Öffnen.
  • Klicke auf Scannen!.
  • Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
    Zitat:
    Diese Datei wurde bereits von VirusTotal analysiert...
    klicke auf Neu analysieren.
  • Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
  • Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



Schritt 3
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset



Schritt 4
Starte noch einmal FRST.
  • Ändere keine der Voreinstellungen und drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Alt 25.10.2013, 17:12   #13
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Sandra,

vielen Dank für Deine bisherige Mühe. Leider komme ich heute nicht dazu, mich weiter um den Rechner zu kümmern. Ich melde mich spätestens am Samstag wieder.

Grüße
Tom

Hallo Sandra,

die Meldungen von Kaspersky bezüglich der Verbindungsversuche sind mir zum ersten Mal nach dem Anklicken der .zip-Datei aufgefallen.

Wahrscheinlich glücklicherweise habe ich nur die .zip-Datei per Doppelklick gestartet. Es öffnete sich nicht die von mir erwartete Telekom-Rechnung und auch kein Inhaltsverzeichnis einer .zip-Datei. Folglich gab es auch keine .exe-Datei, die ich ausgeführt habe.

Zunächst habe ich nun im CombofixLog meinen Namen wieder eingefügt und dann Virustotal wie beschrieben genutzt.

Der Link aus der Adresszeile lautet:
Code:
ATTFilter
hxxps://www.virustotal.com/de/file/2f9d21613500f092dfc0db879180b549ee615d9b07408a5cc1a7f84663b2f47a/analysis/1382715551/
         

Und hier die Datei mbam-log-2013-10-25 (17-47-47).txt
Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.25.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16686
TomWSch :: HP-LIFEBOOKP-1 [Administrator]

25.10.2013 17:47:47
mbam-log-2013-10-25 (17-47-47).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 202088
Laufzeit: 4 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

ESET habe ich noch nicht durchgeführt, weil ich hier noch einmal nachfragen möchte. Ist es richtig, dass hier ein Online-Scan durchgeführt werden soll mit ausgeschaltetem Virenschutz? Bisher habe ich immer, wenn das Ausschalten des Virenscanners gefordert worden ist, vorher mein Netzwerk-Kabel abgezogen, um ganz sicher vom Internet getrennt zu sein. Dies scheint ja hier nicht zu gehen. Ich halte dies für ein Risiko. Bitte erläutere mir die Vorgehensweise und ob wir auf diesen Schritt evtl. verzichten können.


FRST.txt

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-10-2013
Ran by TomWSch (administrator) on HP-LIFEBOOKP-1 on 25-10-2013 18:01:29
Running from C:\Users\TomWSch\Desktop
Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Star Finanz - Software Entwicklung und Vertriebs GmbH) C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Dropbox, Inc.) C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
(Evernote Corp., 305 Walnut Street, Redwood City, CA 94063) C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe
(Dr. J. Rathlev, D-24222 Schwentinental) C:\Program Files (x86)\Personal Backup 5\Persbackup.exe
(Kaspersky Lab ZAO) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\system32\Macromed\Flash\FlashUtil64_11_9_900_117_ActiveX.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [ ] ()
HKLM-x32\...\RunOnce: [ Malwarebytes Anti-Malware ] - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent [532040 2013-04-04] (Malwarebytes Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\klogon: C:\Windows\system32\klogon.dll (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [AVP] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
HKLM-x32\...\Run: [BCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-18] (Adobe Systems Incorporated)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\TomWSch\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk
ShortcutTarget: EvernoteClipper.lnk -> C:\Program Files (x86)\Evernote\Evernote\EvernoteClipper.exe (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
Startup: C:\Users\TomWSch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Persbackup.lnk
ShortcutTarget: Persbackup.lnk -> C:\Program Files (x86)\Personal Backup 5\Persbackup.exe (Dr. J. Rathlev, D-24222 Schwentinental)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x6100EDFE1AF7CD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: Evernote extension - {92EF2EAD-A7CE-4424-B0DB-499CF856608E} - C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 305 Walnut Street, Redwood City, CA 94063)
BHO-x32: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 217.0.43.17 217.0.43.49

Chrome: 
=======
CHR HomePage: hxxp://www.google.com/
CHR RestoreOnStartup: "hxxp://www.google.com/"]},"first_run_tabs":["hxxp://www.google.com/","hxxp://welcome_page"

==================== Services (Whitelisted) =================

R2 AVP; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 8 für Windows\avp.exe [515888 2013-02-07] (Kaspersky Lab ZAO)
S3 COMSysApp; C:\Windows\SysWow64\dllhost.exe [7168 2009-07-14] (Microsoft Corporation)
S3 msiserver; C:\Windows\SysWow64\msiexec.exe [73216 2010-11-21] (Microsoft Corporation)
R2 StarMoney 8.0 OnlineUpdate; C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition\ouservice\StarMoneyOnlineUpdate.exe [699680 2012-12-21] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
R2 WSearch; C:\Windows\SysWow64\SearchIndexer.exe [428032 2009-07-14] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

R0 KL1; C:\Windows\System32\DRIVERS\kl1.sys [464176 2011-08-18] (Kaspersky Lab ZAO)
R1 kl2; C:\Windows\System32\DRIVERS\kl2.sys [13616 2011-08-18] (Kaspersky Lab ZAO)
R1 KLFLTDEV; C:\Windows\System32\DRIVERS\klfltdev.sys [58672 2012-04-03] (Kaspersky Lab)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [636720 2012-05-14] (Kaspersky Lab)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [32048 2011-09-01] (Kaspersky Lab ZAO)
S3 rstescu; C:\Windows\system32\drivers\rstescu.sys [607256 2011-03-25] (Intel Corporation)
S3 rstescu1; C:\Windows\system32\drivers\rstescu1.sys [607256 2011-03-25] (Intel Corporation)
R0 rstfltr; C:\Windows\System32\drivers\rstfltr.sys [22552 2011-03-25] (Intel Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-25 18:00 - 2013-10-25 18:00 - 01955412 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2013-10-25 17:46 - 2013-10-25 17:46 - 00001119 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-10-25 17:46 - 2013-10-25 17:46 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Malwarebytes
2013-10-25 17:46 - 2013-10-25 17:46 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-10-25 17:46 - 2013-10-25 17:46 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-25 17:46 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-10-23 19:57 - 2013-10-23 20:23 - 00000627 _____ C:\Users\TomWSch\Desktop\JRT.txt
2013-10-23 19:35 - 2013-10-23 19:35 - 00000000 ____D C:\Windows\ERUNT
2013-10-23 19:34 - 2013-10-23 19:34 - 01033335 _____ (Thisisu) C:\Users\TomWSch\Desktop\JRT.exe
2013-10-23 19:22 - 2013-10-23 19:25 - 00000000 ____D C:\AdwCleaner
2013-10-23 19:19 - 2013-10-23 19:19 - 01060070 _____ C:\Users\TomWSch\Desktop\adwcleaner.exe
2013-10-22 22:35 - 2013-10-22 22:39 - 00004046 _____ C:\Users\TomWSch\Desktop\HitmanPro_20131022_2235.log
2013-10-22 22:28 - 2013-10-22 22:35 - 00000000 ____D C:\ProgramData\HitmanPro
2013-10-22 22:25 - 2013-10-22 22:25 - 10201544 _____ (SurfRight B.V.) C:\Users\TomWSch\Desktop\hitmanpro_x64.exe
2013-10-22 22:20 - 2013-10-22 22:21 - 00302227 _____ C:\Users\TomWSch\Desktop\KasperskyUntersuchungComputer.txt
2013-10-22 18:58 - 2013-10-25 17:59 - 00002647 _____ C:\Users\TomWSch\Desktop\TempText.txt
2013-10-21 20:05 - 2013-10-21 20:10 - 00023973 _____ C:\ComboFixGeändert.txt
2013-10-21 20:05 - 2013-10-21 20:05 - 00024048 _____ C:\ComboFix.txt
2013-10-21 19:39 - 2013-10-21 20:06 - 00000000 ____D C:\Qoobox
2013-10-21 19:39 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-10-21 19:39 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-10-21 19:39 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-10-21 19:39 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-10-21 19:38 - 2013-10-21 20:00 - 00000000 ____D C:\Windows\erdnt
2013-10-21 19:35 - 2013-10-21 19:36 - 05136138 ____R (Swearware) C:\Users\TomWSch\Desktop\ComboFix.exe
2013-10-20 18:59 - 2013-10-20 19:00 - 00011690 _____ C:\Users\TomWSch\Desktop\FRST1.txt
2013-10-20 18:58 - 2013-10-20 18:59 - 00019031 _____ C:\Users\TomWSch\Desktop\Addition.txt
2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\TomWSch\Desktop\gmer.txt
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\TomWSch\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\TomWSch\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\TomWSch\defogger_reenable
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\TomWSch\Desktop\Defogger.exe

==================== One Month Modified Files and Folders =======

2013-10-25 18:00 - 2013-10-25 18:00 - 01955412 _____ (Farbar) C:\Users\TomWSch\Desktop\FRST64.exe
2013-10-25 17:59 - 2013-10-22 18:58 - 00002647 _____ C:\Users\TomWSch\Desktop\TempText.txt
2013-10-25 17:47 - 2013-02-16 10:35 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-10-25 17:46 - 2013-10-25 17:46 - 00001119 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-10-25 17:46 - 2013-10-25 17:46 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Malwarebytes
2013-10-25 17:46 - 2013-10-25 17:46 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-10-25 17:46 - 2013-10-25 17:46 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-10-25 15:51 - 2013-03-24 15:36 - 00000000 ____D C:\Program Files (x86)\StarMoney 8.0 Commerzbank-Edition
2013-10-25 15:46 - 2013-01-19 18:08 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2013-10-25 13:46 - 2013-01-16 15:14 - 01627694 _____ C:\Windows\WindowsUpdate.log
2013-10-25 07:12 - 2013-01-27 17:09 - 00000000 ____D C:\Users\TomWSch\AppData\Roaming\Dropbox
2013-10-24 17:01 - 2013-01-17 00:09 - 00643866 _____ C:\Windows\system32\perfh007.dat
2013-10-24 17:01 - 2013-01-17 00:09 - 00126394 _____ C:\Windows\system32\perfc007.dat
2013-10-24 17:01 - 2009-07-14 07:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-24 13:58 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-24 13:58 - 2009-07-14 06:45 - 00033712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-24 13:50 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-24 13:50 - 2009-07-14 06:51 - 00042892 _____ C:\Windows\setupact.log
2013-10-23 20:23 - 2013-10-23 19:57 - 00000627 _____ C:\Users\TomWSch\Desktop\JRT.txt
2013-10-23 19:35 - 2013-10-23 19:35 - 00000000 ____D C:\Windows\ERUNT
2013-10-23 19:34 - 2013-10-23 19:34 - 01033335 _____ (Thisisu) C:\Users\TomWSch\Desktop\JRT.exe
2013-10-23 19:25 - 2013-10-23 19:22 - 00000000 ____D C:\AdwCleaner
2013-10-23 19:19 - 2013-10-23 19:19 - 01060070 _____ C:\Users\TomWSch\Desktop\adwcleaner.exe
2013-10-22 22:39 - 2013-10-22 22:35 - 00004046 _____ C:\Users\TomWSch\Desktop\HitmanPro_20131022_2235.log
2013-10-22 22:35 - 2013-10-22 22:28 - 00000000 ____D C:\ProgramData\HitmanPro
2013-10-22 22:25 - 2013-10-22 22:25 - 10201544 _____ (SurfRight B.V.) C:\Users\TomWSch\Desktop\hitmanpro_x64.exe
2013-10-22 22:21 - 2013-10-22 22:20 - 00302227 _____ C:\Users\TomWSch\Desktop\KasperskyUntersuchungComputer.txt
2013-10-21 20:10 - 2013-10-21 20:05 - 00023973 _____ C:\ComboFixGeändert.txt
2013-10-21 20:06 - 2013-10-21 19:39 - 00000000 ____D C:\Qoobox
2013-10-21 20:06 - 2009-07-14 05:20 - 00000000 __RHD C:\Users\Default
2013-10-21 20:05 - 2013-10-21 20:05 - 00024048 _____ C:\ComboFix.txt
2013-10-21 20:00 - 2013-10-21 19:38 - 00000000 ____D C:\Windows\erdnt
2013-10-21 19:56 - 2009-07-14 04:34 - 00000215 _____ C:\Windows\system.ini
2013-10-21 19:55 - 2010-11-21 05:47 - 00015466 _____ C:\Windows\PFRO.log
2013-10-21 19:55 - 2009-07-14 04:34 - 60030976 _____ C:\Windows\system32\config\SOFTWARE.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 14155776 _____ C:\Windows\system32\config\SYSTEM.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\SECURITY.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\SAM.bak
2013-10-21 19:55 - 2009-07-14 04:34 - 00262144 _____ C:\Windows\system32\config\DEFAULT.bak
2013-10-21 19:36 - 2013-10-21 19:35 - 05136138 ____R (Swearware) C:\Users\TomWSch\Desktop\ComboFix.exe
2013-10-20 19:00 - 2013-10-20 18:59 - 00011690 _____ C:\Users\TomWSch\Desktop\FRST1.txt
2013-10-20 18:59 - 2013-10-20 18:58 - 00019031 _____ C:\Users\TomWSch\Desktop\Addition.txt
2013-10-20 18:56 - 2013-10-20 18:56 - 00000000 ____D C:\FRST
2013-10-20 18:47 - 2013-10-20 18:47 - 00007723 _____ C:\Users\TomWSch\Desktop\gmer.txt
2013-10-20 18:36 - 2013-10-20 18:36 - 00377856 _____ C:\Users\TomWSch\Desktop\gmer_2.1.19163.exe
2013-10-20 18:29 - 2013-10-20 18:29 - 00000488 _____ C:\Users\TomWSch\Desktop\defogger_disable.log
2013-10-20 18:29 - 2013-10-20 18:29 - 00000000 _____ C:\Users\TomWSch\defogger_reenable
2013-10-20 18:29 - 2013-01-16 15:28 - 00000000 ____D C:\Users\TomWSch
2013-10-20 18:28 - 2013-10-20 18:28 - 00050477 _____ C:\Users\TomWSch\Desktop\Defogger.exe
2013-10-20 12:33 - 2013-02-16 10:35 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-10-20 12:33 - 2013-01-27 16:57 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-10-20 12:33 - 2013-01-27 16:57 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-10-08 16:09 - 2013-01-19 18:08 - 00000000 ____D C:\Program Files (x86)\Kaspersky Lab

Some content of TEMP:
====================
C:\Users\TomWSch\AppData\Local\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-10-22 20:54

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---

[/CODE]


Und zum Schluss, meinem Rechner scheint es gut zu gehen. Kein eigenartiges Verhalten, keine Verzögerungen, keine für mich sichtbare Einschränkung. Nach dem Lauf von Combo Fix habe ich wieder angefangen, meinen Rechner vorsichtig zu nutzen, auch im Internet und durch Nutzung des Mail-Programms Thunderbird.

Grüße
Tom

Geändert von TomWSch (24.10.2013 um 18:25 Uhr)

Alt 26.10.2013, 00:47   #14
Bootsektor
/// TB-Ausbilder
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Tom,
ESET ist ein OnlineScanner, er benötigt eine Internetverbindung um scannen zu können, da passiert nichts, wenn Du sonst nichts am PC machst, keine Sorge und es ist wichtig, dass er Deinen Rechner scannt.

Schritt 1

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset



Schritt 2
Starte noch einmal FRST.
  • Ändere keine der Voreinstellungen und drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Alt 26.10.2013, 10:42   #15
TomWSch
 
Kaspersky findet Backdoor.Win32.Androm.cue - Standard

Kaspersky findet Backdoor.Win32.Androm.cue



Hallo Sandra,

vielen Dank für Deine Antwort und die viele Mühe, die Du Dir bisher schon mit der Behebung meines Trojaner-Problems gemacht hast.

Trotzdem möchte ich Dir in Bezug auf ESET nicht folgen. Einem externen Programm über Stunden Kontrolle über meinen Rechner zu geben, und das auch noch, ohne durch einen Viren-Scanner geschützt zu sein, entspricht in keinem Fall meinen Sicherheitsvorstellungen. Auch wenn es mich mit der gefälschten Telekom-Rechnung zum ersten Mal erwischt hat, bezüglich Sicherheit stelle ich an mich hohe Anforderungen.

Und da reicht mir Deine Aussage nicht, es sei wichtig und ich möge mir keine Sorgen machen.

Ich möchte also auf einen Online-Scan verzichten. Gibt es eine Alternative? Ist nach den bisherigen auch von mir verfolgten Prüfungen mein Rechner nicht schon ohne Schädling? Wieviele Prüfungen sind noch erforderlich? Und wirst Du mir noch Unterstützung geben, wie ich die Prüfprogramme wieder los werde?

Grüße
Tom

Antwort

Themen zu Kaspersky findet Backdoor.Win32.Androm.cue
aktiv, aktuelle, anhang, appdata, backdoor.win32.androm, doppelklick, eingefangen, ergebnis, gefälschte, gen, installation, kaspersky, mail, minute, minuten, recht, schädling, service, sichtbar, telekom-rechnung, temp, trojaner, verdächtige, version, windows, windows 7, zugriff



Ähnliche Themen: Kaspersky findet Backdoor.Win32.Androm.cue


  1. WinXP Kaspersky findet Backdoor.win32.androm.ihru
    Plagegeister aller Art und deren Bekämpfung - 05.10.2015 (24)
  2. pc ist langsam und kaspersky notfall cd findet trojan-fakeav.win32.tweaker.b
    Plagegeister aller Art und deren Bekämpfung - 18.06.2015 (24)
  3. Bitte dringend um Hilfe - Backdoor.Win32.Androm.henq Trojaner Macbook
    Plagegeister aller Art und deren Bekämpfung - 11.06.2015 (7)
  4. Windows 8: Trojaner (Backdoor.Win32.Androm.gjvy) auf Computer nach öffnen einer Email für pay pal Rechnung
    Log-Analyse und Auswertung - 25.03.2015 (13)
  5. Backdoor.Win32.Androm.fxul
    Log-Analyse und Auswertung - 10.01.2015 (7)
  6. Beim Virenscan Malware backdoor.win32.androm.eutw gefunden
    Log-Analyse und Auswertung - 25.10.2014 (9)
  7. Kaspersky 2.0 findet packed.win32.krap.hc
    Log-Analyse und Auswertung - 22.05.2014 (19)
  8. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  9. AVIRA findet 4 unerwünschte Programme TR/Kazy.evrfa TR/Rogue.AI.1030 BDS/Androm.lrds
    Log-Analyse und Auswertung - 16.01.2014 (10)
  10. BDS/Androm.nbnv [backdoor] gefunden
    Log-Analyse und Auswertung - 25.10.2013 (3)
  11. Trojaner:Backdoor.Win32.SdBot.nci von Kaspersky gefunden.
    Plagegeister aller Art und deren Bekämpfung - 07.07.2011 (47)
  12. Kaspersky findet trojanisches Programm Trojan.Win32.FakeAV.tcu
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (21)
  13. Kaspersky meldet nach DivX update Backdoor.Win32.IRCNite.anf
    Plagegeister aller Art und deren Bekämpfung - 28.08.2010 (1)
  14. Kaspersky findet not-a-virus:FraudTool.Win32.Agent.adv in C:\Lokale Einstellungen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2009 (8)
  15. Kaspersky findet Trojaner Trojan-Downloader.Win32-Zlob.xjd
    Plagegeister aller Art und deren Bekämpfung - 02.09.2008 (7)
  16. a squared findet Backdoor.win32.xhaker.n
    Log-Analyse und Auswertung - 14.07.2008 (3)
  17. F-Secure findet: backdoor.Win32.Rukap.gen, kann aber nicht entfernen?
    Antiviren-, Firewall- und andere Schutzprogramme - 30.06.2007 (3)

Zum Thema Kaspersky findet Backdoor.Win32.Androm.cue - Hallo, leider bin ich auf eine gefälschte Telekom-Rechnung hereingefallen. Die Mail sah exakt so aus wie die monatliche Original-Rechnung. Es hätte mir auffallen müssen, dass der Anhang nicht so wie - Kaspersky findet Backdoor.Win32.Androm.cue...
Archiv
Du betrachtest: Kaspersky findet Backdoor.Win32.Androm.cue auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.