Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/ATRAPS.Gen2 auf Laptop/Vista

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.11.2013, 12:50   #1
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hallo,

wie angegeben, habe ich seit gestern nachmittag besagten Trojaner auf meinem Laptop. Der Zugriff wurde laut Avira verweigert, hier: C:Program FilesGoogle/Desktop/.../80000032.@.

Bevor mir klar war, wie schlimm es wohl ist, habe ich versucht, besagte Datei zu löschen. Hierbei stürzte jedesmal mein Windows ab. Habe Avira und malwarebyte ohne Erfolg scannen lassen. Malwarebyte zeigte nicht einmal einen Virus.

Nun habe ich die Schritte 1 und 2 der Anleitung für Hilfesuchende durchgeführt und hätte gerne vor Schritt 3 einen kurzen Zwischenbericht.

Ich arbeite parallel mit einem anderen PC, da ich über meinen PC keinen Download mehr (erfolgreich) durchführen kann. Es wird zwar geladen, angezeigt und abgeschlossen. Aber es ist keine Datei vorhanden bzw. ich habe keinen Zugriff.

Ich hänge die FRST.txt und die Addition.txt an und hoffe auch eine baldige Antwort.

Leider bin ich auch nicht unbedingt super fit, was den Computer betrifft; und mein Sohn hat gestern abend schon das Handtuch geworfen. Ich könnte also wirklich ein wenig Unterstützung gebrauchen und nehme sie dankend an. Also bitte nicht böse sein, falls ich nicht alles richtig gemacht haben sollte.

LG, Martina

Alt 06.11.2013, 12:57   #2
schrauber
/// the machine
/// TB-Ausbilder
 

TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.


So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________

Alt 06.11.2013, 13:18   #3
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hallo,

tut mir leid, habe das mit dem anhängen wohl nicht richtig verstanden. Ich dachte, es müsse eine zip-Datei sein Hoffe, es ist nun ok. Danke, Martina



FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 31-10-2013
Ran by mehdi (administrator) on D9XTDN3J on 06-11-2013 13:12:24
Running from C:\Users\mehdi\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\system32\WLANExt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Windows\system32\aestsrv.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(B.H.A Corporation) C:\Windows\System32\bgsvcgen.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
( ) C:\Windows\system32\dlcccoms.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
(Microsoft Corporation) C:\Windows\system32\msiexec.exe
() C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
(IDT, Inc.) C:\Windows\system32\STacSV.exe
(Microsoft Corporation) C:\Windows\System32\vds.exe
(Conexant Systems, Inc.) C:\Windows\system32\DRIVERS\xaudio.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apoint.exe
(Creative Technology Ltd.) C:\Windows\OEM02Mon.exe
(IDT, Inc.) C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(RealNetworks, Inc.) C:\Program Files\Real\realplayer\Update\realsched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(SoftPerfect Research) C:\Program Files\NetWorx\networx.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
() C:\Program Files\RocketDock\RocketDock.exe
(Macrovision Corporation) C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
() C:\Users\mehdi\AppData\Local\WideSearch\wsearch.exe
() C:\Users\mehdi\AppData\Local\DownBook\DownBook.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\ApMsgFwd.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\HidFind.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apntex.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Microsoft Corporation) C:\Windows\system32\wermgr.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Apoint] - C:\Program Files\DellTPad\Apoint.exe [159744 2007-09-24] (Alps Electric Co., Ltd.)
HKLM\...\Run: [OEM02Mon.exe] - C:\Windows\OEM02Mon.exe [36864 2007-12-03] (Creative Technology Ltd.)
HKLM\...\Run: [SigmatelSysTrayApp] - C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe [405504 2008-01-02] (IDT, Inc.)
HKLM\...\Run: [DLCCCATS] - rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [NVHotkey] - rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [TkBellExe] - C:\Program Files\Real\realplayer\Update\realsched.exe [295072 2013-01-21] (RealNetworks, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [347192 2013-09-03] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [NetWorx] - C:\Program Files\NetWorx\networx.exe [3255696 2012-12-18] (SoftPerfect Research)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-10-01] (Apple Inc.)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehtray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [RocketDock] - C:\Program Files\RocketDock\RocketDock.exe [495616 2007-09-02] ()
HKCU\...\Run: [ISUSPM] - C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [206112 2008-10-24] (Macrovision Corporation)
HKCU\...\Run: [WideSearch] - C:\Users\mehdi\AppData\Local\WideSearch\wsearch.exe [425984 2013-10-16] ()
HKCU\...\Run: [DownBook] - C:\Users\mehdi\AppData\Local\DownBook\DownBook.exe [1016524 2013-11-05] ()
HKCU\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
MountPoints2: {7a65fe27-e09b-11dd-bf43-001f3ae3ae0c} - G:\LaunchU3.exe -a
MountPoints2: {82652108-4f37-11dd-9e80-001f3ae3ae0c} - F:\ClickMe.exe
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
URLSearchHook: HKCU - (No Name) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=sc&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
SearchScopes: HKCU - ${searchCLSID} URL = hxxp://search-gala.com/?&uid=220&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll (Hewlett-Packard Co.)
BHO: RealNetworks Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll (Dell Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKCU - No Name - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Winsock: Catalog9 01 mswsock.dll File Not found ()
Winsock: Catalog9 02 mswsock.dll File Not found ()
Winsock: Catalog9 03 mswsock.dll File Not found ()
Winsock: Catalog9 04 mswsock.dll File Not found ()
Winsock: Catalog9 05 mswsock.dll File Not found ()
Winsock: Catalog9 06 mswsock.dll File Not found ()
Winsock: Catalog9 07 mswsock.dll File Not found ()
Winsock: Catalog9 08 mswsock.dll File Not found ()
Winsock: Catalog9 09 mswsock.dll File Not found ()
Winsock: Catalog9 10 mswsock.dll File Not found ()
Winsock: Catalog9 11 mswsock.dll File Not found ()
Winsock: Catalog9 12 mswsock.dll File Not found ()
Winsock: Catalog9 13 mswsock.dll File Not found ()
Winsock: Catalog9 14 mswsock.dll File Not found ()
Winsock: Catalog9 15 mswsock.dll File Not found ()
Winsock: Catalog9 16 mswsock.dll File Not found ()
Winsock: Catalog9 17 mswsock.dll File Not found ()
Winsock: Catalog9 18 mswsock.dll File Not found ()
Winsock: Catalog9 19 mswsock.dll File Not found ()
Winsock: Catalog9 20 mswsock.dll File Not found ()
Winsock: Catalog9 21 mswsock.dll File Not found ()
Winsock: Catalog9 22 mswsock.dll File Not found ()
Winsock: Catalog9 23 mswsock.dll File Not found ()
Winsock: Catalog9 24 mswsock.dll File Not found ()
Winsock: Catalog9 25 mswsock.dll File Not found ()
Winsock: Catalog9 26 mswsock.dll File Not found ()
Winsock: Catalog9 27 mswsock.dll File Not found ()
Winsock: Catalog9 28 mswsock.dll File Not found ()
Winsock: Catalog9 29 mswsock.dll File Not found ()
Winsock: Catalog9 30 mswsock.dll File Not found ()
Winsock: Catalog9 31 mswsock.dll File Not found ()
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default
FF user.js: detected! => C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\user.js
FF NewTab: hxxp://www.google.de
FF SelectedSearchEngine: eBay
FF Homepage: hxxp://www.google.de
FF NetworkProxy: "backup.ftp", ""
FF NetworkProxy: "backup.ftp_port", 0
FF NetworkProxy: "backup.socks", ""
FF NetworkProxy: "backup.socks_port", 0
FF NetworkProxy: "backup.ssl", ""
FF NetworkProxy: "backup.ssl_port", 0
FF NetworkProxy: "ftp", "171.66.247.151"
FF NetworkProxy: "ftp_port", 80
FF NetworkProxy: "http", "171.66.247.151"
FF NetworkProxy: "http_port", 80
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "171.66.247.151"
FF NetworkProxy: "socks_port", 80
FF NetworkProxy: "ssl", "171.66.247.151"
FF NetworkProxy: "ssl_port", 80
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_117.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin,version=10.11.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpplugin;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer)
FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @zylom.com/ZylomGamesPlayer - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll No File
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\dailymotion.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\leo-deu-fra.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\myvideo.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\youtube-videosuche.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\dosearches.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: bookmarkfaviconchanger - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\bookmarkfaviconchanger@sonthakit.xpi
FF Extension: personas - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\personas@christopher.beard.xpi
FF Extension: noscript - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF Extension: Adblock Plus - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF Extension: Google Toolbar for Firefox - C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{34712C68-7391-4c47-94F3-8F88D49AD632}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\
FF Extension: RealDownloader - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 bgsvcgen; C:\Windows\System32\bgsvcgen.exe [145504 2007-06-15] (B.H.A Corporation)
R2 dlcc_device; C:\Windows\system32\dlcccoms.exe [538096 2007-02-14] ( )
R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] ()
S2 gupdate1c9f579372d2820; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [x]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [x]
U2 *etadpug; "C:\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\   \...\???\{21094e50-115b-4105-6621-362d93a703e6}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88840 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136672 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-28] (Avira Operations GmbH & Co. KG)
R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2013-01-13] (DT Soft Ltd)
S3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [328192 2007-04-02] (Ralink Technology Corp.)
R1 networx; C:\Windows\System32\drivers\networx.sys [52728 2012-11-26] (NetFilterSDK.com)
S4 sptd; C:\Windows\System32\Drivers\sptd.sys [466008 2012-11-24] (Duplex Secure Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-24] (Avira GmbH)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:06 - 2013-11-06 12:37 - 01957098 _____ (Farbar) C:\Users\mehdi\Desktop\FRST64.exe
2013-11-06 13:05 - 2013-11-06 12:36 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 13:01 - 2013-11-06 13:01 - 00000652 _____ C:\Users\mehdi\Desktop\defogger_disable.log
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 12:43 - 2013-11-06 12:33 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\WideSearch
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\DownBook
2013-11-05 13:46 - 2013-11-05 18:42 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-01 11:54 - 2013-11-01 17:53 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-29 18:59 - 2013-10-30 11:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-22 13:52 - 2013-10-22 13:53 - 00000000 ____D C:\ProgramData\eSafe
2013-10-22 13:33 - 2013-10-23 11:42 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-20 13:15 - 2013-11-05 23:19 - 00190521 _____ C:\Windows\WindowsUpdate.log
2013-10-16 17:36 - 2013-10-16 17:39 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod
2013-10-08 10:15 - 2013-10-13 17:04 - 100742045 _____ C:\Windows\system32\斵᭄§

==================== One Month Modified Files and Folders =======

2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:09 - 2006-11-02 11:33 - 01595424 _____ C:\Windows\system32\PerfStringBackup.INI
2013-11-06 13:05 - 2012-05-06 11:14 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-11-06 13:03 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.dat
2013-11-06 13:03 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.001
2013-11-06 13:02 - 2009-06-28 11:18 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-11-06 13:02 - 2008-04-29 20:21 - 00000012 _____ C:\Windows\bthservsdp.dat
2013-11-06 13:02 - 2006-11-02 14:01 - 00032608 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-11-06 13:02 - 2006-11-02 14:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-11-06 13:02 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-06 13:02 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-06 13:01 - 2013-11-06 13:01 - 00000652 _____ C:\Users\mehdi\Desktop\defogger_disable.log
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 13:01 - 2008-05-02 08:38 - 00000000 ____D C:\Users\mehdi
2013-11-06 12:37 - 2013-11-06 13:06 - 01957098 _____ (Farbar) C:\Users\mehdi\Desktop\FRST64.exe
2013-11-06 12:36 - 2013-11-06 13:05 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 12:35 - 2009-06-28 11:18 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-11-06 12:33 - 2013-11-06 12:43 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-06 12:28 - 2012-08-24 12:10 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-11-05 23:19 - 2013-10-20 13:15 - 00190521 _____ C:\Windows\WindowsUpdate.log
2013-11-05 19:21 - 2008-04-29 20:41 - 00000000 ____D C:\Program Files\Google
2013-11-05 18:52 - 2008-06-08 13:25 - 00000000 ____D C:\Windows\Minidump
2013-11-05 18:46 - 2008-05-02 08:39 - 00000000 ____D C:\Users\mehdi\AppData\Local\Google
2013-11-05 18:42 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\WideSearch
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\DownBook
2013-11-05 16:54 - 2012-01-27 13:26 - 00000000 ____D C:\Users\mehdi\Documents\Zeitschriften und Bücher
2013-11-05 16:43 - 2008-05-02 14:52 - 00208896 _____ C:\Users\mehdi\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-11-05 16:30 - 2009-11-28 12:53 - 00000418 ____H C:\Windows\Tasks\User_Feed_Synchronization-{64E4BCF0-1ED8-41F7-936E-5E4A343D1B07}.job
2013-11-05 13:53 - 2013-06-17 11:31 - 00018432 _____ C:\Users\mehdi\Foren.wps
2013-11-05 13:53 - 2008-05-02 11:08 - 00036914 _____ C:\Users\mehdi\AppData\Roaming\wklnhst.dat
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-05 13:46 - 2013-02-01 15:44 - 00000000 ____D C:\Program Files\Adobe
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-02 18:56 - 2009-02-12 18:27 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\vlc
2013-11-02 10:25 - 2008-05-02 11:09 - 00000000 ____D C:\Users\mehdi\Documents\Schriftverkehr
2013-11-01 17:53 - 2013-11-01 11:54 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-31 11:30 - 2012-05-05 10:46 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-10-30 11:59 - 2013-10-29 18:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-26 10:27 - 2008-05-07 20:26 - 00008484 _____ C:\Users\mehdi\AppData\Local\d3d9caps.dat
2013-10-25 15:45 - 2012-12-29 18:40 - 00018944 _____ C:\Users\mehdi\Gebrannte DVDs.wps
2013-10-23 11:42 - 2013-10-22 13:33 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-22 13:53 - 2013-10-22 13:52 - 00000000 ____D C:\ProgramData\eSafe
2013-10-22 13:52 - 2008-06-22 16:02 - 00001255 _____ C:\Users\mehdi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-10-18 17:22 - 2010-08-28 10:56 - 00000000 ____D C:\Users\mehdi\Documents\Küche
2013-10-16 17:39 - 2013-10-16 17:36 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-13 17:04 - 2013-10-08 10:15 - 100742045 _____ C:\Windows\system32\斵᭄§
2013-10-13 13:33 - 2009-09-29 16:44 - 00000000 ____D C:\Users\mehdi\Documents\Allgemeines
2013-10-11 16:04 - 2008-05-02 10:44 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\Apple Computer
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod
2013-10-11 16:01 - 2008-05-02 10:41 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-10-11 02:02 - 2013-07-17 02:00 - 00000000 ____D C:\Windows\system32\MRT
2013-10-11 02:00 - 2006-11-02 11:24 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-10-10 12:36 - 2009-04-29 12:02 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\dvdcss
2013-10-09 20:53 - 2012-08-24 12:10 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-10-09 20:53 - 2011-09-29 13:55 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl

ZeroAccess:
C:\Windows\assembly\GAC\Desktop.ini

Files to move or delete:
====================
C:\Users\mehdi\AppData\Roaming\desktop.ini
ZeroAccess:
C:\Users\mehdi\AppData\Local\Google\Desktop\Install
ZeroAccess:
C:\Program Files\Google\Desktop\Install


Some content of TEMP:
====================
C:\Users\mehdi\AppData\Local\Temp\658517abenteuerveganeinleitfadenzumthemavegan...  Downloader.exe
C:\Users\mehdi\AppData\Local\Temp\DeltaTB.exe
C:\Users\mehdi\AppData\Local\Temp\InstallFlashPlayer.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender


LastRegBack: 2013-11-06 13:11

==================== End Of Log ============================
         
--- --- ---



FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 31-10-2013
Ran by mehdi (administrator) on D9XTDN3J on 06-11-2013 13:12:24
Running from C:\Users\mehdi\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\system32\WLANExt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Windows\system32\aestsrv.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(B.H.A Corporation) C:\Windows\System32\bgsvcgen.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
( ) C:\Windows\system32\dlcccoms.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
(Microsoft Corporation) C:\Windows\system32\msiexec.exe
() C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
(IDT, Inc.) C:\Windows\system32\STacSV.exe
(Microsoft Corporation) C:\Windows\System32\vds.exe
(Conexant Systems, Inc.) C:\Windows\system32\DRIVERS\xaudio.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apoint.exe
(Creative Technology Ltd.) C:\Windows\OEM02Mon.exe
(IDT, Inc.) C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(RealNetworks, Inc.) C:\Program Files\Real\realplayer\Update\realsched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(SoftPerfect Research) C:\Program Files\NetWorx\networx.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
() C:\Program Files\RocketDock\RocketDock.exe
(Macrovision Corporation) C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
() C:\Users\mehdi\AppData\Local\WideSearch\wsearch.exe
() C:\Users\mehdi\AppData\Local\DownBook\DownBook.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\ApMsgFwd.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\HidFind.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apntex.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Microsoft Corporation) C:\Windows\system32\wermgr.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Apoint] - C:\Program Files\DellTPad\Apoint.exe [159744 2007-09-24] (Alps Electric Co., Ltd.)
HKLM\...\Run: [OEM02Mon.exe] - C:\Windows\OEM02Mon.exe [36864 2007-12-03] (Creative Technology Ltd.)
HKLM\...\Run: [SigmatelSysTrayApp] - C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe [405504 2008-01-02] (IDT, Inc.)
HKLM\...\Run: [DLCCCATS] - rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [NVHotkey] - rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [TkBellExe] - C:\Program Files\Real\realplayer\Update\realsched.exe [295072 2013-01-21] (RealNetworks, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [347192 2013-09-03] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [NetWorx] - C:\Program Files\NetWorx\networx.exe [3255696 2012-12-18] (SoftPerfect Research)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-10-01] (Apple Inc.)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehtray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [RocketDock] - C:\Program Files\RocketDock\RocketDock.exe [495616 2007-09-02] ()
HKCU\...\Run: [ISUSPM] - C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [206112 2008-10-24] (Macrovision Corporation)
HKCU\...\Run: [WideSearch] - C:\Users\mehdi\AppData\Local\WideSearch\wsearch.exe [425984 2013-10-16] ()
HKCU\...\Run: [DownBook] - C:\Users\mehdi\AppData\Local\DownBook\DownBook.exe [1016524 2013-11-05] ()
HKCU\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
MountPoints2: {7a65fe27-e09b-11dd-bf43-001f3ae3ae0c} - G:\LaunchU3.exe -a
MountPoints2: {82652108-4f37-11dd-9e80-001f3ae3ae0c} - F:\ClickMe.exe
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
URLSearchHook: HKCU - (No Name) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=sc&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
SearchScopes: HKCU - ${searchCLSID} URL = hxxp://search-gala.com/?&uid=220&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=ds&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315&type=default&q={searchTerms}
BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll (Hewlett-Packard Co.)
BHO: RealNetworks Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll (Dell Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKCU - No Name - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Winsock: Catalog9 01 mswsock.dll File Not found ()
Winsock: Catalog9 02 mswsock.dll File Not found ()
Winsock: Catalog9 03 mswsock.dll File Not found ()
Winsock: Catalog9 04 mswsock.dll File Not found ()
Winsock: Catalog9 05 mswsock.dll File Not found ()
Winsock: Catalog9 06 mswsock.dll File Not found ()
Winsock: Catalog9 07 mswsock.dll File Not found ()
Winsock: Catalog9 08 mswsock.dll File Not found ()
Winsock: Catalog9 09 mswsock.dll File Not found ()
Winsock: Catalog9 10 mswsock.dll File Not found ()
Winsock: Catalog9 11 mswsock.dll File Not found ()
Winsock: Catalog9 12 mswsock.dll File Not found ()
Winsock: Catalog9 13 mswsock.dll File Not found ()
Winsock: Catalog9 14 mswsock.dll File Not found ()
Winsock: Catalog9 15 mswsock.dll File Not found ()
Winsock: Catalog9 16 mswsock.dll File Not found ()
Winsock: Catalog9 17 mswsock.dll File Not found ()
Winsock: Catalog9 18 mswsock.dll File Not found ()
Winsock: Catalog9 19 mswsock.dll File Not found ()
Winsock: Catalog9 20 mswsock.dll File Not found ()
Winsock: Catalog9 21 mswsock.dll File Not found ()
Winsock: Catalog9 22 mswsock.dll File Not found ()
Winsock: Catalog9 23 mswsock.dll File Not found ()
Winsock: Catalog9 24 mswsock.dll File Not found ()
Winsock: Catalog9 25 mswsock.dll File Not found ()
Winsock: Catalog9 26 mswsock.dll File Not found ()
Winsock: Catalog9 27 mswsock.dll File Not found ()
Winsock: Catalog9 28 mswsock.dll File Not found ()
Winsock: Catalog9 29 mswsock.dll File Not found ()
Winsock: Catalog9 30 mswsock.dll File Not found ()
Winsock: Catalog9 31 mswsock.dll File Not found ()
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default
FF user.js: detected! => C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\user.js
FF NewTab: hxxp://www.google.de
FF SelectedSearchEngine: eBay
FF Homepage: hxxp://www.google.de
FF NetworkProxy: "backup.ftp", ""
FF NetworkProxy: "backup.ftp_port", 0
FF NetworkProxy: "backup.socks", ""
FF NetworkProxy: "backup.socks_port", 0
FF NetworkProxy: "backup.ssl", ""
FF NetworkProxy: "backup.ssl_port", 0
FF NetworkProxy: "ftp", "171.66.247.151"
FF NetworkProxy: "ftp_port", 80
FF NetworkProxy: "http", "171.66.247.151"
FF NetworkProxy: "http_port", 80
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "171.66.247.151"
FF NetworkProxy: "socks_port", 80
FF NetworkProxy: "ssl", "171.66.247.151"
FF NetworkProxy: "ssl_port", 80
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_117.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin,version=10.11.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpplugin;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer)
FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @zylom.com/ZylomGamesPlayer - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll No File
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\dailymotion.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\leo-deu-fra.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\myvideo.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\youtube-videosuche.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\dosearches.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: bookmarkfaviconchanger - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\bookmarkfaviconchanger@sonthakit.xpi
FF Extension: personas - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\personas@christopher.beard.xpi
FF Extension: noscript - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF Extension: Adblock Plus - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF Extension: Google Toolbar for Firefox - C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{34712C68-7391-4c47-94F3-8F88D49AD632}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\
FF Extension: RealDownloader - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 bgsvcgen; C:\Windows\System32\bgsvcgen.exe [145504 2007-06-15] (B.H.A Corporation)
R2 dlcc_device; C:\Windows\system32\dlcccoms.exe [538096 2007-02-14] ( )
R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] ()
S2 gupdate1c9f579372d2820; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [x]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [x]
U2 *etadpug; "C:\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\   \...\???\{21094e50-115b-4105-6621-362d93a703e6}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88840 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136672 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-28] (Avira Operations GmbH & Co. KG)
R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2013-01-13] (DT Soft Ltd)
S3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [328192 2007-04-02] (Ralink Technology Corp.)
R1 networx; C:\Windows\System32\drivers\networx.sys [52728 2012-11-26] (NetFilterSDK.com)
S4 sptd; C:\Windows\System32\Drivers\sptd.sys [466008 2012-11-24] (Duplex Secure Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-24] (Avira GmbH)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:06 - 2013-11-06 12:37 - 01957098 _____ (Farbar) C:\Users\mehdi\Desktop\FRST64.exe
2013-11-06 13:05 - 2013-11-06 12:36 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 13:01 - 2013-11-06 13:01 - 00000652 _____ C:\Users\mehdi\Desktop\defogger_disable.log
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 12:43 - 2013-11-06 12:33 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\WideSearch
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\DownBook
2013-11-05 13:46 - 2013-11-05 18:42 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-01 11:54 - 2013-11-01 17:53 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-29 18:59 - 2013-10-30 11:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-22 13:52 - 2013-10-22 13:53 - 00000000 ____D C:\ProgramData\eSafe
2013-10-22 13:33 - 2013-10-23 11:42 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-20 13:15 - 2013-11-05 23:19 - 00190521 _____ C:\Windows\WindowsUpdate.log
2013-10-16 17:36 - 2013-10-16 17:39 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod
2013-10-08 10:15 - 2013-10-13 17:04 - 100742045 _____ C:\Windows\system32\斵᭄§

==================== One Month Modified Files and Folders =======

2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:09 - 2006-11-02 11:33 - 01595424 _____ C:\Windows\system32\PerfStringBackup.INI
2013-11-06 13:05 - 2012-05-06 11:14 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-11-06 13:03 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.dat
2013-11-06 13:03 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.001
2013-11-06 13:02 - 2009-06-28 11:18 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-11-06 13:02 - 2008-04-29 20:21 - 00000012 _____ C:\Windows\bthservsdp.dat
2013-11-06 13:02 - 2006-11-02 14:01 - 00032608 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-11-06 13:02 - 2006-11-02 14:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-11-06 13:02 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-06 13:02 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-06 13:01 - 2013-11-06 13:01 - 00000652 _____ C:\Users\mehdi\Desktop\defogger_disable.log
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 13:01 - 2008-05-02 08:38 - 00000000 ____D C:\Users\mehdi
2013-11-06 12:37 - 2013-11-06 13:06 - 01957098 _____ (Farbar) C:\Users\mehdi\Desktop\FRST64.exe
2013-11-06 12:36 - 2013-11-06 13:05 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 12:35 - 2009-06-28 11:18 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-11-06 12:33 - 2013-11-06 12:43 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-06 12:28 - 2012-08-24 12:10 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-11-05 23:19 - 2013-10-20 13:15 - 00190521 _____ C:\Windows\WindowsUpdate.log
2013-11-05 19:21 - 2008-04-29 20:41 - 00000000 ____D C:\Program Files\Google
2013-11-05 18:52 - 2008-06-08 13:25 - 00000000 ____D C:\Windows\Minidump
2013-11-05 18:46 - 2008-05-02 08:39 - 00000000 ____D C:\Users\mehdi\AppData\Local\Google
2013-11-05 18:42 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\WideSearch
2013-11-05 18:41 - 2013-11-05 18:41 - 00000000 ____D C:\Users\mehdi\AppData\Local\DownBook
2013-11-05 16:54 - 2012-01-27 13:26 - 00000000 ____D C:\Users\mehdi\Documents\Zeitschriften und Bücher
2013-11-05 16:43 - 2008-05-02 14:52 - 00208896 _____ C:\Users\mehdi\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-11-05 16:30 - 2009-11-28 12:53 - 00000418 ____H C:\Windows\Tasks\User_Feed_Synchronization-{64E4BCF0-1ED8-41F7-936E-5E4A343D1B07}.job
2013-11-05 13:53 - 2013-06-17 11:31 - 00018432 _____ C:\Users\mehdi\Foren.wps
2013-11-05 13:53 - 2008-05-02 11:08 - 00036914 _____ C:\Users\mehdi\AppData\Roaming\wklnhst.dat
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-05 13:46 - 2013-02-01 15:44 - 00000000 ____D C:\Program Files\Adobe
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-02 18:56 - 2009-02-12 18:27 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\vlc
2013-11-02 10:25 - 2008-05-02 11:09 - 00000000 ____D C:\Users\mehdi\Documents\Schriftverkehr
2013-11-01 17:53 - 2013-11-01 11:54 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-31 11:30 - 2012-05-05 10:46 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-10-30 11:59 - 2013-10-29 18:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-26 10:27 - 2008-05-07 20:26 - 00008484 _____ C:\Users\mehdi\AppData\Local\d3d9caps.dat
2013-10-25 15:45 - 2012-12-29 18:40 - 00018944 _____ C:\Users\mehdi\Gebrannte DVDs.wps
2013-10-23 11:42 - 2013-10-22 13:33 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-22 13:53 - 2013-10-22 13:52 - 00000000 ____D C:\ProgramData\eSafe
2013-10-22 13:52 - 2008-06-22 16:02 - 00001255 _____ C:\Users\mehdi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-10-18 17:22 - 2010-08-28 10:56 - 00000000 ____D C:\Users\mehdi\Documents\Küche
2013-10-16 17:39 - 2013-10-16 17:36 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-13 17:04 - 2013-10-08 10:15 - 100742045 _____ C:\Windows\system32\斵᭄§
2013-10-13 13:33 - 2009-09-29 16:44 - 00000000 ____D C:\Users\mehdi\Documents\Allgemeines
2013-10-11 16:04 - 2008-05-02 10:44 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\Apple Computer
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod
2013-10-11 16:01 - 2008-05-02 10:41 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-10-11 02:02 - 2013-07-17 02:00 - 00000000 ____D C:\Windows\system32\MRT
2013-10-11 02:00 - 2006-11-02 11:24 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-10-10 12:36 - 2009-04-29 12:02 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\dvdcss
2013-10-09 20:53 - 2012-08-24 12:10 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-10-09 20:53 - 2011-09-29 13:55 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl

ZeroAccess:
C:\Windows\assembly\GAC\Desktop.ini

Files to move or delete:
====================
C:\Users\mehdi\AppData\Roaming\desktop.ini
ZeroAccess:
C:\Users\mehdi\AppData\Local\Google\Desktop\Install
ZeroAccess:
C:\Program Files\Google\Desktop\Install


Some content of TEMP:
====================
C:\Users\mehdi\AppData\Local\Temp\658517abenteuerveganeinleitfadenzumthemavegan...  Downloader.exe
C:\Users\mehdi\AppData\Local\Temp\DeltaTB.exe
C:\Users\mehdi\AppData\Local\Temp\InstallFlashPlayer.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender


LastRegBack: 2013-11-06 13:11

==================== End Of Log ============================
         
--- --- ---
__________________

Alt 06.11.2013, 16:26   #4
schrauber
/// the machine
/// TB-Ausbilder
 

TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



hi,

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 06.11.2013, 19:04   #5
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hallo,

Code:
ATTFilter
  Combofix Logfile:
Code:
ATTFilter
ComboFix 13-11-04.01 - mehdi 06.11.2013  17:50:44.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3581.2393 [GMT 1:00]
ausgeführt von:: c:\users\mehdi\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\install\install.exe
c:\program files\Google\Desktop\Install
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\@
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\GoogleUpdate.exe
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\L\00000004.@
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\L\201d3dde
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\L\76603ac3
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\00000004.@
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\00000008.@
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\000000cb.@
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\80000000.@
c:\program files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\80000032.@
c:\users\mehdi\AppData\Local\Google\Desktop\Install
c:\users\mehdi\AppData\Local\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\C3C1~1\01C8~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\@
c:\users\mehdi\AppData\Local\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\C3C1~1\01C8~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\GoogleUpdate.exe
c:\users\mehdi\AppData\Local\WideSearch
c:\users\mehdi\AppData\Local\WideSearch\unins000.dat
c:\users\mehdi\AppData\Local\WideSearch\wsearch.exe
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\DBOLE.sys
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\dudl.sys
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\eb.sys
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\energy.drv
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\energy.exe
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\exec.exe
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\exec.tmp
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\FS.exe
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\pal.drv
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\pal.sys
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\PE.drv
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\PE.sys
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\ppal.drv
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\runddlkey.drv
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\sld.drv
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\tjd.dll
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\tjd.drv
c:\users\mehdi\AppData\Roaming\Microsoft\Windows\Recent\tjd.exe
c:\users\mehdi\AppData\Roaming\Windows System Defender
c:\users\mehdi\AppData\Roaming\Windows System Defender\cookies.sqlite
c:\users\mehdi\AppData\Roaming\Windows System Defender\Instructions.ini
c:\windows\assembly\GAC\Desktop.ini
c:\windows\IsUn0407.exe
c:\windows\pi.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\AutoRun.inf
c:\windows\system32\tmp18D.tmp
c:\windows\system32\tmp1FB.tmp
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-10-06 bis 2013-11-06  ))))))))))))))))))))))))))))))
.
.
2013-11-06 17:02 . 2013-11-06 17:08	--------	d-----w-	c:\users\mehdi\AppData\Local\temp
2013-11-06 12:12 . 2013-11-06 12:12	--------	d-----w-	C:\FRST
2013-11-05 17:41 . 2013-11-05 17:41	--------	d-----w-	c:\users\mehdi\AppData\Local\DownBook
2013-11-05 12:46 . 2013-11-05 12:46	--------	d-----w-	c:\users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-10-22 12:33 . 2013-10-23 10:42	--------	d-----w-	c:\users\mehdi\AppData\Roaming\iPumper
2013-10-11 15:01 . 2013-10-11 15:01	--------	d-----w-	c:\program files\iPod
2013-10-11 15:01 . 2013-10-11 15:02	--------	d-----w-	c:\program files\iTunes
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-11-06 12:29 . 2012-08-24 11:10	692616	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-11-06 12:29 . 2011-09-29 12:55	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-09-03 13:35 . 2009-10-02 23:36	238872	------w-	c:\windows\system32\MpSigStub.exe
2013-09-03 08:44 . 2013-02-25 10:36	88840	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-09-03 08:44 . 2013-02-25 10:36	136672	----a-w-	c:\windows\system32\drivers\avipbb.sys
2008-09-30 16:35 . 2008-09-30 16:35	9776128	----a-w-	c:\program files\openofficeorg30.msi
2002-03-11 09:06 . 2002-03-11 09:06	1822520	----a-w-	c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	----a-w-	c:\program files\instmsia.exe
2013-10-30 10:59 . 2013-10-29 17:59	263280	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2008-10-24 206112]
"DownBook"="c:\users\mehdi\AppData\Local\DownBook\DownBook.exe" [2013-11-05 1016524]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-09-24 159744]
"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-12-03 36864]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2008-01-02 405504]
"DLCCCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2006-02-24 73728]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-16 13793824]
"NVHotkey"="c:\windows\system32\nvHotkey.dll" [2009-06-16 92704]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2013-01-21 295072]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-09-03 347192]
"NetWorx"="c:\program files\NetWorx\networx.exe" [2012-12-18 3255696]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-04-21 59720]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2013-05-01 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2013-10-01 152392]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^PHOTOfunSTUDIO 5.1 HD Edition.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\PHOTOfunSTUDIO 5.1 HD Edition.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO 5.1 HD Edition.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-04-04 21:06	958576	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2008-09-03 18:12	111936	----a-w-	c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2012-11-06 10:46	3673728	----a-w-	c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DELL Webcam Manager]
2007-07-27 15:43	118784	------w-	c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ECenter]
2008-02-29 04:18	17920	----a-w-	c:\dell\E-Center\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
2008-10-24 07:14	206112	----a-w-	c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2013-10-01 00:23	152392	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ Malwarebytes Anti-Malware  (reboot)]
2009-09-10 13:53	1312080	----a-w-	c:\program files\Malwarebytes' Anti-Malware\mbam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-06-16 08:27	13793824	----a-w-	c:\windows\System32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2013-05-01 01:59	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11	25623336	----a-r-	c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-07-03 08:04	252848	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe"
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe"  -osboot
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2008-01-02 73728]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-11-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-24 12:29]
.
2013-11-06 c:\windows\Tasks\User_Feed_Synchronization-{64E4BCF0-1ED8-41F7-936E-5E4A343D1B07}.job
- c:\windows\system32\msfeedssync.exe [2008-06-05 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
mStart Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=mp3&utm_campaign=eXQ&utm_content=hp&from=mp3&uid=SAMSUNGXHM320JI_S19FJD0Q424335424335X&ts=1382446315
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\mehdi\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\
FF - prefs.js: browser.search.selectedEngine - eBay
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-TkBellExe - c:\program files\Common Files\Real\Update_OB\realsched.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-11-06 18:07
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  DLCCCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1649996617-3486868627-2645123033-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7516EBB4-5515-73F8-E9E4-F05E204025ED}*]
"haecfgligijjmido"=hex:6b,61,62,6a,67,67,64,6f,67,6e,62,61,66,6b,62,64,70,6c,
   69,6e,68,61,00,02
"iaccpgbdjofdgmimlf"=hex:6b,61,67,67,62,67,6b,62,63,6b,6d,61,6a,6f,65,6f,6e,66,
   6b,61,65,70,00,02
.
[HKEY_USERS\S-1-5-21-1649996617-3486868627-2645123033-1000\Software\SecuROM\License information*]
"datasecu"=hex:8b,c5,6f,f7,f2,37,66,4c,1f,11,d1,27,41,19,79,56,9a,52,af,e1,28,
   2c,4e,5d,8b,0c,af,87,26,53,57,a0,42,34,bf,01,b7,19,45,18,3b,69,4c,60,56,8f,\
"rkeysecu"=hex:cf,20,12,80,96,a0,52,c1,16,9e,1b,55,c6,86,bc,a2
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(1212)
c:\windows\system32\btncopy.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\WLANExt.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\System32\bgsvcgen.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\dlcccoms.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\STacSV.exe
c:\windows\System32\vds.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\rundll32.exe
c:\windows\ehome\ehmsas.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-11-06  18:17:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-11-06 17:17
.
Vor Suchlauf: 13 Verzeichnis(se), 78.970.216.448 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 78.706.929.664 Bytes frei
.
- - End Of File - - 1C6C235669BFDB69A3F01457CFB80AF9
         
--- --- --- 5C616939100B85E558DA92B899A0FC36
Der Rechner hat folgendes noch angezeigt: freeware implementation of XCACLAS funktioniert nicht mehr.

Ich hoffe, es ist noch was zu retten.

LG, Martina


Alt 07.11.2013, 11:26   #6
schrauber
/// the machine
/// TB-Ausbilder
 

TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST log bitte.
__________________
--> TR/ATRAPS.Gen2 auf Laptop/Vista

Alt 07.11.2013, 13:24   #7
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hallo,

Zwischendurch mal ein "herzliches Dankeschön" für die Unterstützung,

Leider hat sich ein kleines Problem ergeben. Ich kann den 1. Punkt nicht komplett abschließen. Beim 1. scannen zeigte Malwarebytes 11 infizierte Objekte. Beim Entfernen ist das Programm abgestürzt. Ich habe ein 2. mal scannen lassen, 2 infizierte Objekte, beim Entfernen wieder Absturz. Jedesmal kein Log. Ich habe jetzt noch einmal durchlaufen lassen, die 2 Funde aber nicht entfernt und gleich die Logdatei gesichert. Die da wäre:

Code:
ATTFilter
  Datenbank Version: v2013.11.07.04

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
mehdi :: D9XTDN3J [Administrator]

07.11.2013 13:59:05
MBAM-log-2013-11-07 (14-12-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211390
Laufzeit: 6 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Users\mehdi\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.
C:\Users\mehdi\AppData\Roaming\OpenCandy\4A48AA7F85ED4EF99033519ACE7FA234 (PUP.Optional.OpenCandy) -> Keine Aktion durchgeführt.

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Mein Avira zeigt keinen ATRAP mehr, dafür die neue Nachricht: TR/Drop.Agent.1016477 in AppData/Local/DownBookexe, den der Malwarebyte nicht gefunden hat.

Meine Frage jetzt: Soll ich nun mit AdwCleaner und Junkware fortfahren, oder muss aufgrund der Abstürze von Malwarebyte etwas anderes gemacht werden?

Danke für das Verständnis und LG, Martina

Nachtrag: Im übrigen kann ich wieder downloaden

Alt 08.11.2013, 08:40   #8
schrauber
/// the machine
/// TB-Ausbilder
 

TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Ja einfach weiter machen mit den tools
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 08.11.2013, 10:18   #9
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hallo,

so, habe es beendet. Der Adwcleaner ist beim 1. mal wieder abgestürzt, beim 2. mal hat er aber erfolgreich beendet. Hier die Logdatei:

Code:
ATTFilter
  
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\speedupmypc
Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2431245
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D54C859C-6066-4F31-8FE0-2AAEDCAE67D7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1C1356DA-1E98-4810-A9F6-18D89BD1C0C0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E601996F-E400-41CA-804B-CD6373A7EEE2}
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\Uniblue\DriverScanner
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{E55B3271-7CA8-4D0C-AE06-69A24856E996}_is1
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\softonic-de3 Toolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WsysControl

***** [ Browser ] *****

-\\ Internet Explorer v7.0.6001.18639


-\\ Mozilla Firefox v17.0.10 (de)

[ Datei : C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\prefs.js ]

Zeile gelöscht : user_pref("extensions.enabledItems", "{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.9,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-[...]

*************************

AdwCleaner[R1].txt - [4620 octets] - [08/11/2013 10:46:39]
AdwCleaner[R2].txt - [4132 octets] - [08/11/2013 10:55:01]
AdwCleaner[S0].txt - [929 octets] - [08/11/2013 10:52:37]
AdwCleaner[S1].txt - [3605 octets] - [08/11/2013 10:56:04]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [3665 octets] ##########
         
Danach der JWtool:

Code:
ATTFilter
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.8 (11.05.2013:1)
OS: Windows Vista (TM) Home Premium x86
Ran by mehdi on 08.11.2013 at 11:01:49,34
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\dt soft\daemon tools toolbar



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\big fish games"
Successfully deleted: [Folder] "C:\Users\mehdi\AppData\Roaming\big fish games"
Successfully deleted: [Folder] "C:\Program Files\free video converter"



~~~ FireFox

Emptied folder: C:\Users\mehdi\AppData\Roaming\mozilla\firefox\profiles\mh2d7bhm.default\minidumps [300 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 08.11.2013 at 11:04:34,26
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         
und ein frisches FRST log:


FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 31-10-2013
Ran by mehdi (administrator) on D9XTDN3J on 08-11-2013 11:10:26
Running from C:\Users\mehdi\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(Microsoft Corporation) C:\Windows\system32\WLANExt.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Windows\system32\aestsrv.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(B.H.A Corporation) C:\Windows\System32\bgsvcgen.exe
( ) C:\Windows\system32\dlcccoms.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
() C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
(IDT, Inc.) C:\Windows\system32\STacSV.exe
(Microsoft Corporation) C:\Windows\System32\vds.exe
(Conexant Systems, Inc.) C:\Windows\system32\DRIVERS\xaudio.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apoint.exe
(Creative Technology Ltd.) C:\Windows\OEM02Mon.exe
(IDT, Inc.) C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(RealNetworks, Inc.) C:\Program Files\Real\realplayer\Update\realsched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(SoftPerfect Research) C:\Program Files\NetWorx\networx.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
() C:\Program Files\RocketDock\RocketDock.exe
(Macrovision Corporation) C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\ApMsgFwd.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\HidFind.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apntex.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Apoint] - C:\Program Files\DellTPad\Apoint.exe [159744 2007-09-24] (Alps Electric Co., Ltd.)
HKLM\...\Run: [OEM02Mon.exe] - C:\Windows\OEM02Mon.exe [36864 2007-12-03] (Creative Technology Ltd.)
HKLM\...\Run: [SigmatelSysTrayApp] - C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe [405504 2008-01-02] (IDT, Inc.)
HKLM\...\Run: [DLCCCATS] - rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [NVHotkey] - rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [TkBellExe] - C:\Program Files\Real\realplayer\Update\realsched.exe [295072 2013-01-21] (RealNetworks, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [347192 2013-09-03] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [NetWorx] - C:\Program Files\NetWorx\networx.exe [3255696 2012-12-18] (SoftPerfect Research)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-10-01] (Apple Inc.)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehtray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [RocketDock] - C:\Program Files\RocketDock\RocketDock.exe [495616 2007-09-02] ()
HKCU\...\Run: [ISUSPM] - C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [206112 2008-10-24] (Macrovision Corporation)
HKCU\...\Run: [DownBook] - "C:\Users\mehdi\AppData\Local\DownBook\DownBook.exe" ede372ce072057abd560ea20954dd967 12
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - ${searchCLSID} URL = hxxp://search-gala.com/?&uid=220&q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search
BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll (Hewlett-Packard Co.)
BHO: RealNetworks Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll (Dell Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKCU - No Name - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog5 01 %SystemRoot%\System32\mswsock.dll [223232] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default
FF NewTab: hxxp://www.google.de
FF SelectedSearchEngine: eBay
FF Homepage: hxxp://www.google.de
FF NetworkProxy: "backup.ftp", ""
FF NetworkProxy: "backup.ftp_port", 0
FF NetworkProxy: "backup.socks", ""
FF NetworkProxy: "backup.socks_port", 0
FF NetworkProxy: "backup.ssl", ""
FF NetworkProxy: "backup.ssl_port", 0
FF NetworkProxy: "ftp", "171.66.247.151"
FF NetworkProxy: "ftp_port", 80
FF NetworkProxy: "http", "171.66.247.151"
FF NetworkProxy: "http_port", 80
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "171.66.247.151"
FF NetworkProxy: "socks_port", 80
FF NetworkProxy: "ssl", "171.66.247.151"
FF NetworkProxy: "ssl_port", 80
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_117.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin,version=10.11.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpplugin;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer)
FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @zylom.com/ZylomGamesPlayer - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll No File
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\dailymotion.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\leo-deu-fra.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\myvideo.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\youtube-videosuche.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: bookmarkfaviconchanger - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\bookmarkfaviconchanger@sonthakit.xpi
FF Extension: personas - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\personas@christopher.beard.xpi
FF Extension: noscript - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF Extension: Adblock Plus - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF Extension: Google Toolbar for Firefox - C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{34712C68-7391-4c47-94F3-8F88D49AD632}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\
FF Extension: RealDownloader - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 bgsvcgen; C:\Windows\System32\bgsvcgen.exe [145504 2007-06-15] (B.H.A Corporation)
R2 dlcc_device; C:\Windows\system32\dlcccoms.exe [538096 2007-02-14] ( )
R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] ()
S4 RemoteAccess; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
S2 gupdate1c9f579372d2820; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [x]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [x]

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88840 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136672 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-28] (Avira Operations GmbH & Co. KG)
R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2013-01-13] (DT Soft Ltd)
S3 MBAMSwissArmy; C:\Windows\system32\drivers\mbamswissarmy.sys [40776 2013-11-07] (Malwarebytes Corporation)
S3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [328192 2007-04-02] (Ralink Technology Corp.)
R1 networx; C:\Windows\System32\drivers\networx.sys [52728 2012-11-26] (NetFilterSDK.com)
S4 sptd; C:\Windows\System32\Drivers\sptd.sys [466008 2012-11-24] (Duplex Secure Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-24] (Avira GmbH)
U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-11-08 11:04 - 2013-11-08 11:04 - 00001398 _____ C:\Users\mehdi\Desktop\JRT.txt
2013-11-08 11:01 - 2013-11-08 11:01 - 00000000 ____D C:\Windows\ERUNT
2013-11-08 10:46 - 2013-11-08 10:56 - 00000000 ____D C:\AdwCleaner
2013-11-07 14:26 - 2013-11-07 14:26 - 01073262 _____ C:\Users\mehdi\Desktop\adwcleaner.exe
2013-11-07 14:26 - 2013-11-07 14:26 - 01034531 _____ (Thisisu) C:\Users\mehdi\Desktop\JRT.exe
2013-11-07 13:47 - 2013-11-07 13:47 - 00000000 ____D C:\Users\mehdi\Desktop\Neuer Ordner
2013-11-07 13:16 - 2013-11-07 13:16 - 00000908 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-11-06 18:17 - 2013-11-06 18:17 - 00017622 _____ C:\ComboFix.txt
2013-11-06 18:03 - 2013-11-06 18:03 - 00000546 _____ C:\Windows\PFRO.log
2013-11-06 17:48 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2013-11-06 17:48 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2013-11-06 17:48 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2013-11-06 17:46 - 2013-11-06 19:52 - 00000000 ____D C:\Qoobox
2013-11-06 17:46 - 2013-11-06 18:14 - 00000000 ____D C:\Windows\erdnt
2013-11-06 17:45 - 2013-11-06 17:43 - 05144303 ____R (Swearware) C:\Users\mehdi\Desktop\ComboFix.exe
2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:05 - 2013-11-06 12:36 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 12:43 - 2013-11-06 12:33 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-05 13:46 - 2013-11-05 18:42 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-01 11:54 - 2013-11-01 17:53 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-29 18:59 - 2013-10-30 11:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-22 13:33 - 2013-10-23 11:42 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-20 13:15 - 2013-11-08 11:02 - 00258155 _____ C:\Windows\WindowsUpdate.log
2013-10-16 17:36 - 2013-10-16 17:39 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod

==================== One Month Modified Files and Folders =======

2013-11-08 11:04 - 2013-11-08 11:04 - 00001398 _____ C:\Users\mehdi\Desktop\JRT.txt
2013-11-08 11:04 - 2006-11-02 11:33 - 01595424 _____ C:\Windows\system32\PerfStringBackup.INI
2013-11-08 11:02 - 2013-10-20 13:15 - 00258155 _____ C:\Windows\WindowsUpdate.log
2013-11-08 11:01 - 2013-11-08 11:01 - 00000000 ____D C:\Windows\ERUNT
2013-11-08 10:58 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.001
2013-11-08 10:57 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.dat
2013-11-08 10:57 - 2006-11-02 14:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-11-08 10:57 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-08 10:57 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-08 10:56 - 2013-11-08 10:46 - 00000000 ____D C:\AdwCleaner
2013-11-08 10:56 - 2008-06-22 16:02 - 00000977 _____ C:\Users\mehdi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-11-08 10:56 - 2008-04-29 20:21 - 00000012 _____ C:\Windows\bthservsdp.dat
2013-11-08 10:56 - 2006-11-02 14:01 - 00032608 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-11-08 10:52 - 2009-04-26 13:03 - 00000000 ____D C:\Program Files\Common Files\DVDVideoSoft
2013-11-08 10:45 - 2009-11-28 12:53 - 00000418 ____H C:\Windows\Tasks\User_Feed_Synchronization-{64E4BCF0-1ED8-41F7-936E-5E4A343D1B07}.job
2013-11-07 14:26 - 2013-11-07 14:26 - 01073262 _____ C:\Users\mehdi\Desktop\adwcleaner.exe
2013-11-07 14:26 - 2013-11-07 14:26 - 01034531 _____ (Thisisu) C:\Users\mehdi\Desktop\JRT.exe
2013-11-07 13:57 - 2009-11-05 14:14 - 00040776 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamswissarmy.sys
2013-11-07 13:47 - 2013-11-07 13:47 - 00000000 ____D C:\Users\mehdi\Desktop\Neuer Ordner
2013-11-07 13:28 - 2012-08-24 12:10 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-11-07 13:16 - 2013-11-07 13:16 - 00000908 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-11-07 13:16 - 2009-11-05 14:14 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-11-06 19:53 - 2011-07-15 19:37 - 00000000 ____D C:\Users\mehdi\AppData\Local\Apps\2.0
2013-11-06 19:52 - 2013-11-06 17:46 - 00000000 ____D C:\Qoobox
2013-11-06 19:52 - 2006-11-02 12:18 - 00000000 __RHD C:\Users\Default
2013-11-06 19:52 - 2006-11-02 12:18 - 00000000 ___RD C:\Users\Public
2013-11-06 18:17 - 2013-11-06 18:17 - 00017622 _____ C:\ComboFix.txt
2013-11-06 18:14 - 2013-11-06 17:46 - 00000000 ____D C:\Windows\erdnt
2013-11-06 18:07 - 2006-11-02 11:23 - 00000215 _____ C:\Windows\system.ini
2013-11-06 18:05 - 2012-05-06 11:14 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-11-06 18:03 - 2013-11-06 18:03 - 00000546 _____ C:\Windows\PFRO.log
2013-11-06 17:58 - 2011-05-22 11:21 - 00000000 ____D C:\Install
2013-11-06 17:43 - 2013-11-06 17:45 - 05144303 ____R (Swearware) C:\Users\mehdi\Desktop\ComboFix.exe
2013-11-06 13:29 - 2012-08-24 12:10 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-11-06 13:29 - 2011-09-29 13:55 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 13:01 - 2008-05-02 08:38 - 00000000 ____D C:\Users\mehdi
2013-11-06 12:36 - 2013-11-06 13:05 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 12:33 - 2013-11-06 12:43 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-05 19:21 - 2008-04-29 20:41 - 00000000 ____D C:\Program Files\Google
2013-11-05 18:52 - 2008-06-08 13:25 - 00000000 ____D C:\Windows\Minidump
2013-11-05 18:46 - 2008-05-02 08:39 - 00000000 ____D C:\Users\mehdi\AppData\Local\Google
2013-11-05 18:42 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 16:54 - 2012-01-27 13:26 - 00000000 ____D C:\Users\mehdi\Documents\Zeitschriften und Bücher
2013-11-05 16:43 - 2008-05-02 14:52 - 00208896 _____ C:\Users\mehdi\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-11-05 13:53 - 2013-06-17 11:31 - 00018432 _____ C:\Users\mehdi\Foren.wps
2013-11-05 13:53 - 2008-05-02 11:08 - 00036914 _____ C:\Users\mehdi\AppData\Roaming\wklnhst.dat
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-05 13:46 - 2013-02-01 15:44 - 00000000 ____D C:\Program Files\Adobe
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-02 18:56 - 2009-02-12 18:27 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\vlc
2013-11-02 10:25 - 2008-05-02 11:09 - 00000000 ____D C:\Users\mehdi\Documents\Schriftverkehr
2013-11-01 17:53 - 2013-11-01 11:54 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-31 11:30 - 2012-05-05 10:46 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-10-30 11:59 - 2013-10-29 18:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-26 10:27 - 2008-05-07 20:26 - 00008484 _____ C:\Users\mehdi\AppData\Local\d3d9caps.dat
2013-10-25 15:45 - 2012-12-29 18:40 - 00018944 _____ C:\Users\mehdi\Gebrannte DVDs.wps
2013-10-23 11:42 - 2013-10-22 13:33 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-18 17:22 - 2010-08-28 10:56 - 00000000 ____D C:\Users\mehdi\Documents\Küche
2013-10-16 17:39 - 2013-10-16 17:36 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-13 17:04 - 2013-10-08 10:15 - 100742045 _____ C:\Windows\system32\斵᭄§
2013-10-13 13:33 - 2009-09-29 16:44 - 00000000 ____D C:\Users\mehdi\Documents\Allgemeines
2013-10-11 16:04 - 2008-05-02 10:44 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\Apple Computer
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod
2013-10-11 16:01 - 2008-05-02 10:41 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-10-11 02:02 - 2013-07-17 02:00 - 00000000 ____D C:\Windows\system32\MRT
2013-10-11 02:00 - 2006-11-02 11:24 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-10-10 12:36 - 2009-04-29 12:02 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\dvdcss

Files to move or delete:
====================
C:\Users\mehdi\AppData\Roaming\desktop.ini


Some content of TEMP:
====================
C:\Users\mehdi\AppData\Local\temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-11-08 11:04

==================== End Of Log ============================
         
--- --- ---

--- --- ---


LG, Martina

Alt 08.11.2013, 11:48   #10
schrauber
/// the machine
/// TB-Ausbilder
 

TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 08.11.2013, 22:19   #11
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hallo,

sieht irgendwie nicht so gut aus .

Nach 4 Stunden eset dies:

Code:
ATTFilter
  ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=d9fdddcc616006488ba04ae776224adc
# engine=15808
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-11-08 03:45:47
# local_time=2013-11-08 04:45:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1799 16775165 100 97 24517 129696031 18023 0
# compatibility_mode=5892 16776574 100 95 239191 221458275 0 0
# scanned=399855
# found=9
# cleaned=0
# scan_time=13575
sh=D75D35EB6B79DCE07587AFA615968EDEDF8E18B3 ft=1 fh=bee94d91c1114188 vn="a variant of Win32/Kryptik.BOEG trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\GoogleUpdate.exe.vir"
sh=A3AA67884223F3E8F8C52AFDBC779DCB19FF00E6 ft=1 fh=046b86e38f417135 vn="Win32/Conedex.D trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\00000004.@.vir"
sh=2587B2A16644839CBF08F2943FA21CC0C8DD6E5D ft=1 fh=1aeb32f3d5992c2a vn="Win32/Conedex.T trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\00000008.@.vir"
sh=97D178F9F9541E90C2A527C3FF97A43A1B69CB25 ft=1 fh=658c8a56b6c5d815 vn="Win32/Conedex.E trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\000000cb.@.vir"
sh=D441DCB603F6F47250A711A9B25A3B6384FE72A1 ft=1 fh=52597494e97da6b7 vn="probably a variant of Win32/Sirefef.FA trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\80000000.@.vir"
sh=AD6A7C5F0C9E80E4C4A0CD54925FF5D75987F4D3 ft=1 fh=cb86aa94e6e0fd3f vn="probably a variant of Win32/Sirefef.FV trojan" ac=I fn="C:\Qoobox\Quarantine\C\Program Files\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\0103~1\7154~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\U\80000032.@.vir"
sh=D75D35EB6B79DCE07587AFA615968EDEDF8E18B3 ft=1 fh=bee94d91c1114188 vn="a variant of Win32/Kryptik.BOEG trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\mehdi\AppData\Local\Google\Desktop\Install\{21094e50-115b-4105-6621-362d93a703e6}\C3C1~1\01C8~1\CFFE~1\{21094e50-115b-4105-6621-362d93a703e6}\GoogleUpdate.exe.vir"
sh=215013268FB20CD08C8FDC86A89B5CA2BFA8D490 ft=1 fh=a88c1288de6e7460 vn="a variant of Win32/TrojanDownloader.Delf.SAS trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\mehdi\AppData\Local\WideSearch\wsearch.exe.vir"
sh=90F3D6FF1C80B66B4722EFC332CD70342DFE5C80 ft=1 fh=64df79db96d02fef vn="Win32/Sirefef.EZ trojan" ac=I fn="C:\Qoobox\Quarantine\C\Windows\assembly\GAC\Desktop.ini.vir"
         
SecurityCheck scannt nicht, bricht ab mit diesem Kommentar:

Code:
ATTFilter
  UNSUPPORTED OPERATING SYSTEM! ABORTED!
         
Was nun?

LG, Martina

Hallo,

schiebe noch ein "frisches" frst log nach, vielleicht es doch noch nützlich:


FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 31-10-2013
Ran by mehdi (administrator) on D9XTDN3J on 08-11-2013 23:14:07
Running from C:\Users\mehdi\Desktop
Microsoft® Windows Vista™ Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(Microsoft Corporation) C:\Windows\system32\WLANExt.exe
(NVIDIA Corporation) C:\Windows\system32\nvvsvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Andrea Electronics Corporation) C:\Windows\system32\aestsrv.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(B.H.A Corporation) C:\Windows\System32\bgsvcgen.exe
( ) C:\Windows\system32\dlcccoms.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
() C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe
(Intel Corporation) C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
(IDT, Inc.) C:\Windows\system32\STacSV.exe
(Microsoft Corporation) C:\Windows\System32\vds.exe
(Conexant Systems, Inc.) C:\Windows\system32\DRIVERS\xaudio.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apoint.exe
(Creative Technology Ltd.) C:\Windows\OEM02Mon.exe
(IDT, Inc.) C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(RealNetworks, Inc.) C:\Program Files\Real\realplayer\Update\realsched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(SoftPerfect Research) C:\Program Files\NetWorx\networx.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
() C:\Program Files\RocketDock\RocketDock.exe
(Macrovision Corporation) C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\ApMsgFwd.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\HidFind.exe
(Alps Electric Co., Ltd.) C:\Program Files\DellTPad\Apntex.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\WMPNSCFG.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\update.exe
(Microsoft Corporation) C:\Windows\System32\mobsync.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\updrgui.exe
(Microsoft Corporation) C:\Windows\system32\PresentationSettings.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Apoint] - C:\Program Files\DellTPad\Apoint.exe [159744 2007-09-24] (Alps Electric Co., Ltd.)
HKLM\...\Run: [OEM02Mon.exe] - C:\Windows\OEM02Mon.exe [36864 2007-12-03] (Creative Technology Ltd.)
HKLM\...\Run: [SigmatelSysTrayApp] - C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe [405504 2008-01-02] (IDT, Inc.)
HKLM\...\Run: [DLCCCATS] - rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [NVHotkey] - rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [TkBellExe] - C:\Program Files\Real\realplayer\Update\realsched.exe [295072 2013-01-21] (RealNetworks, Inc.)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [347192 2013-09-03] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [NetWorx] - C:\Program Files\NetWorx\networx.exe [3255696 2012-12-18] (SoftPerfect Research)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-10-01] (Apple Inc.)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehtray.exe [125952 2008-01-19] (Microsoft Corporation)
HKCU\...\Run: [RocketDock] - C:\Program Files\RocketDock\RocketDock.exe [495616 2007-09-02] ()
HKCU\...\Run: [ISUSPM] - C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [206112 2008-10-24] (Macrovision Corporation)
HKCU\...\Run: [DownBook] - "C:\Users\mehdi\AppData\Local\DownBook\DownBook.exe" ede372ce072057abd560ea20954dd967 12
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - ${searchCLSID} URL = hxxp://search-gala.com/?&uid=220&q={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search
BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll (Hewlett-Packard Co.)
BHO: RealNetworks Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll (RealDownloader)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll (Dell Inc.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKCU - No Name - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog5 01 %SystemRoot%\System32\mswsock.dll [223232] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default
FF NewTab: hxxp://www.google.de
FF SelectedSearchEngine: eBay
FF Homepage: hxxp://www.google.de
FF NetworkProxy: "backup.ftp", ""
FF NetworkProxy: "backup.ftp_port", 0
FF NetworkProxy: "backup.socks", ""
FF NetworkProxy: "backup.socks_port", 0
FF NetworkProxy: "backup.ssl", ""
FF NetworkProxy: "backup.ssl_port", 0
FF NetworkProxy: "ftp", "171.66.247.151"
FF NetworkProxy: "ftp_port", 80
FF NetworkProxy: "http", "171.66.247.151"
FF NetworkProxy: "http_port", 80
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "171.66.247.151"
FF NetworkProxy: "socks_port", 80
FF NetworkProxy: "ssl", "171.66.247.151"
FF NetworkProxy: "ssl_port", 80
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_9_900_117.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin,version=10.11.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.0 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll (RealNetworks, Inc.)
FF Plugin: @real.com/nprpplugin;version=16.0.0.282 - c:\program files\real\realplayer\Netscape6\nprpplugin.dll (RealPlayer)
FF Plugin: @realnetworks.com/npdlplugin;version=1 - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll (RealDownloader)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.165\npGoogleUpdate3.dll No File
FF Plugin: @zylom.com/ZylomGamesPlayer - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll No File
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\dailymotion.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\leo-deu-fra.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\myvideo.xml
FF SearchPlugin: C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\searchplugins\youtube-videosuche.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: bookmarkfaviconchanger - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\bookmarkfaviconchanger@sonthakit.xpi
FF Extension: personas - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\personas@christopher.beard.xpi
FF Extension: noscript - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF Extension: Adblock Plus - C:\Users\mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\mh2d7bhm.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF Extension: Google Toolbar for Firefox - C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [{34712C68-7391-4c47-94F3-8F88D49AD632}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\
FF Extension: RealDownloader - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-09-03] (Avira Operations GmbH & Co. KG)
R2 bgsvcgen; C:\Windows\System32\bgsvcgen.exe [145504 2007-06-15] (B.H.A Corporation)
R2 dlcc_device; C:\Windows\system32\dlcccoms.exe [538096 2007-02-14] ( )
R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] ()
S4 RemoteAccess; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
S2 gupdate1c9f579372d2820; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [x]
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [x]

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88840 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136672 2013-09-03] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-28] (Avira Operations GmbH & Co. KG)
R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2013-01-13] (DT Soft Ltd)
S3 MBAMSwissArmy; C:\Windows\system32\drivers\mbamswissarmy.sys [40776 2013-11-07] (Malwarebytes Corporation)
S3 netr28u; C:\Windows\System32\DRIVERS\netr28u.sys [328192 2007-04-02] (Ralink Technology Corp.)
R1 networx; C:\Windows\System32\drivers\networx.sys [52728 2012-11-26] (NetFilterSDK.com)
S4 sptd; C:\Windows\System32\Drivers\sptd.sys [466008 2012-11-24] (Duplex Secure Ltd.)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-24] (Avira GmbH)
U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-11-08 17:01 - 2013-11-08 17:01 - 00891167 _____ C:\Users\mehdi\Desktop\SecurityCheck.exe
2013-11-08 16:46 - 2013-11-08 23:14 - 103316092 _____ C:\Windows\system32\䆨᭄Ž
2013-11-08 12:55 - 2013-11-08 12:55 - 02347384 _____ (ESET) C:\Users\mehdi\Desktop\esetsmartinstaller_enu.exe
2013-11-08 11:01 - 2013-11-08 11:01 - 00000000 ____D C:\Windows\ERUNT
2013-11-08 10:46 - 2013-11-08 10:56 - 00000000 ____D C:\AdwCleaner
2013-11-07 14:26 - 2013-11-07 14:26 - 01073262 _____ C:\Users\mehdi\Desktop\adwcleaner.exe
2013-11-07 14:26 - 2013-11-07 14:26 - 01034531 _____ (Thisisu) C:\Users\mehdi\Desktop\JRT.exe
2013-11-07 13:47 - 2013-11-08 17:07 - 00000000 ____D C:\Users\mehdi\Desktop\Neuer Ordner
2013-11-07 13:16 - 2013-11-07 13:16 - 00000908 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-11-06 18:17 - 2013-11-06 18:17 - 00017622 _____ C:\ComboFix.txt
2013-11-06 18:03 - 2013-11-06 18:03 - 00000546 _____ C:\Windows\PFRO.log
2013-11-06 17:48 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2013-11-06 17:48 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2013-11-06 17:48 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2013-11-06 17:48 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2013-11-06 17:46 - 2013-11-06 19:52 - 00000000 ____D C:\Qoobox
2013-11-06 17:46 - 2013-11-06 18:14 - 00000000 ____D C:\Windows\erdnt
2013-11-06 17:45 - 2013-11-06 17:43 - 05144303 ____R (Swearware) C:\Users\mehdi\Desktop\ComboFix.exe
2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:05 - 2013-11-06 12:36 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 12:43 - 2013-11-06 12:33 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-05 13:46 - 2013-11-05 18:42 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-01 11:54 - 2013-11-01 17:53 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-29 18:59 - 2013-10-30 11:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-22 13:33 - 2013-10-23 11:42 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-20 13:15 - 2013-11-08 12:50 - 00258770 _____ C:\Windows\WindowsUpdate.log
2013-10-16 17:36 - 2013-10-16 17:39 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:01 - 2013-10-11 16:02 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod

==================== One Month Modified Files and Folders =======

2013-11-08 23:14 - 2013-11-08 16:46 - 103316092 _____ C:\Windows\system32\䆨᭄Ž
2013-11-08 23:14 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.dat
2013-11-08 23:14 - 2011-06-21 13:45 - 00048175 _____ C:\ProgramData\nvModes.001
2013-11-08 23:13 - 2013-10-20 13:15 - 00258770 _____ C:\Windows\WindowsUpdate.log
2013-11-08 23:13 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-08 23:13 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-08 17:32 - 2008-05-02 11:08 - 00036914 _____ C:\Users\mehdi\AppData\Roaming\wklnhst.dat
2013-11-08 17:28 - 2012-08-24 12:10 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-11-08 17:07 - 2013-11-07 13:47 - 00000000 ____D C:\Users\mehdi\Desktop\Neuer Ordner
2013-11-08 17:01 - 2013-11-08 17:01 - 00891167 _____ C:\Users\mehdi\Desktop\SecurityCheck.exe
2013-11-08 12:55 - 2013-11-08 12:55 - 02347384 _____ (ESET) C:\Users\mehdi\Desktop\esetsmartinstaller_enu.exe
2013-11-08 12:55 - 2006-11-02 11:33 - 01595424 _____ C:\Windows\system32\PerfStringBackup.INI
2013-11-08 11:01 - 2013-11-08 11:01 - 00000000 ____D C:\Windows\ERUNT
2013-11-08 10:57 - 2006-11-02 14:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-11-08 10:56 - 2013-11-08 10:46 - 00000000 ____D C:\AdwCleaner
2013-11-08 10:56 - 2008-06-22 16:02 - 00000977 _____ C:\Users\mehdi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-11-08 10:56 - 2008-04-29 20:21 - 00000012 _____ C:\Windows\bthservsdp.dat
2013-11-08 10:56 - 2006-11-02 14:01 - 00032608 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-11-08 10:52 - 2009-04-26 13:03 - 00000000 ____D C:\Program Files\Common Files\DVDVideoSoft
2013-11-08 10:45 - 2009-11-28 12:53 - 00000418 ____H C:\Windows\Tasks\User_Feed_Synchronization-{64E4BCF0-1ED8-41F7-936E-5E4A343D1B07}.job
2013-11-07 14:26 - 2013-11-07 14:26 - 01073262 _____ C:\Users\mehdi\Desktop\adwcleaner.exe
2013-11-07 14:26 - 2013-11-07 14:26 - 01034531 _____ (Thisisu) C:\Users\mehdi\Desktop\JRT.exe
2013-11-07 13:57 - 2009-11-05 14:14 - 00040776 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamswissarmy.sys
2013-11-07 13:16 - 2013-11-07 13:16 - 00000908 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-11-07 13:16 - 2009-11-05 14:14 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-11-06 19:53 - 2011-07-15 19:37 - 00000000 ____D C:\Users\mehdi\AppData\Local\Apps\2.0
2013-11-06 19:52 - 2013-11-06 17:46 - 00000000 ____D C:\Qoobox
2013-11-06 19:52 - 2006-11-02 12:18 - 00000000 __RHD C:\Users\Default
2013-11-06 19:52 - 2006-11-02 12:18 - 00000000 ___RD C:\Users\Public
2013-11-06 18:17 - 2013-11-06 18:17 - 00017622 _____ C:\ComboFix.txt
2013-11-06 18:14 - 2013-11-06 17:46 - 00000000 ____D C:\Windows\erdnt
2013-11-06 18:07 - 2006-11-02 11:23 - 00000215 _____ C:\Windows\system.ini
2013-11-06 18:05 - 2012-05-06 11:14 - 00000306 __RSH C:\ProgramData\ntuser.pol
2013-11-06 18:03 - 2013-11-06 18:03 - 00000546 _____ C:\Windows\PFRO.log
2013-11-06 17:58 - 2011-05-22 11:21 - 00000000 ____D C:\Install
2013-11-06 17:43 - 2013-11-06 17:45 - 05144303 ____R (Swearware) C:\Users\mehdi\Desktop\ComboFix.exe
2013-11-06 13:29 - 2012-08-24 12:10 - 00692616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-11-06 13:29 - 2011-09-29 13:55 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2013-11-06 13:12 - 2013-11-06 13:12 - 00000000 ____D C:\FRST
2013-11-06 13:01 - 2013-11-06 13:01 - 00000176 _____ C:\Users\mehdi\defogger_reenable
2013-11-06 13:01 - 2008-05-02 08:38 - 00000000 ____D C:\Users\mehdi
2013-11-06 12:36 - 2013-11-06 13:05 - 01089445 _____ (Farbar) C:\Users\mehdi\Desktop\FRST.exe
2013-11-06 12:33 - 2013-11-06 12:43 - 00050477 _____ C:\Users\mehdi\Desktop\Defogger.exe
2013-11-05 19:21 - 2008-04-29 20:41 - 00000000 ____D C:\Program Files\Google
2013-11-05 18:52 - 2008-06-08 13:25 - 00000000 ____D C:\Windows\Minidump
2013-11-05 18:46 - 2008-05-02 08:39 - 00000000 ____D C:\Users\mehdi\AppData\Local\Google
2013-11-05 18:42 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\Documents\My Digital Editions
2013-11-05 16:54 - 2012-01-27 13:26 - 00000000 ____D C:\Users\mehdi\Documents\Zeitschriften und Bücher
2013-11-05 16:43 - 2008-05-02 14:52 - 00208896 _____ C:\Users\mehdi\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-11-05 13:53 - 2013-06-17 11:31 - 00018432 _____ C:\Users\mehdi\Foren.wps
2013-11-05 13:46 - 2013-11-05 13:46 - 00000000 ____D C:\Users\mehdi\AppData\Local\Adobe_Systems_Incorporate
2013-11-05 13:46 - 2013-02-01 15:44 - 00000000 ____D C:\Program Files\Adobe
2013-11-03 17:44 - 2013-11-03 17:44 - 02793472 _____ C:\Users\mehdi\Desktop\Rezept.wps
2013-11-02 18:56 - 2009-02-12 18:27 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\vlc
2013-11-02 10:25 - 2008-05-02 11:09 - 00000000 ____D C:\Users\mehdi\Documents\Schriftverkehr
2013-11-01 17:53 - 2013-11-01 11:54 - 104569497 _____ C:\Windows\system32\久㈣᭄”
2013-10-31 17:10 - 2013-10-31 17:10 - 104348737 _____ C:\Windows\system32\촀仙᭄ˆ
2013-10-31 11:30 - 2012-05-05 10:46 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-10-30 11:59 - 2013-10-29 18:59 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-10-28 18:52 - 2013-10-28 18:52 - 103746026 _____ C:\Windows\system32\访᭄—
2013-10-26 10:27 - 2008-05-07 20:26 - 00008484 _____ C:\Users\mehdi\AppData\Local\d3d9caps.dat
2013-10-25 15:45 - 2012-12-29 18:40 - 00018944 _____ C:\Users\mehdi\Gebrannte DVDs.wps
2013-10-23 11:42 - 2013-10-22 13:33 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\iPumper
2013-10-18 17:22 - 2010-08-28 10:56 - 00000000 ____D C:\Users\mehdi\Documents\Küche
2013-10-16 17:39 - 2013-10-16 17:36 - 00019968 _____ C:\Users\mehdi\Desktop\Brownies von Anita.wps
2013-10-13 17:04 - 2013-10-08 10:15 - 100742045 _____ C:\Windows\system32\斵᭄§
2013-10-13 13:33 - 2009-09-29 16:44 - 00000000 ____D C:\Users\mehdi\Documents\Allgemeines
2013-10-11 16:04 - 2008-05-02 10:44 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\Apple Computer
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-10-11 16:02 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iTunes
2013-10-11 16:01 - 2013-10-11 16:01 - 00000000 ____D C:\Program Files\iPod
2013-10-11 16:01 - 2008-05-02 10:41 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-10-11 02:02 - 2013-07-17 02:00 - 00000000 ____D C:\Windows\system32\MRT
2013-10-11 02:00 - 2006-11-02 11:24 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-10-10 12:36 - 2009-04-29 12:02 - 00000000 ____D C:\Users\mehdi\AppData\Roaming\dvdcss

Files to move or delete:
====================
C:\Users\mehdi\AppData\Roaming\desktop.ini


Some content of TEMP:
====================
C:\Users\mehdi\AppData\Local\temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-11-08 11:04

==================== End Of Log ============================
         
--- --- ---

--- --- ---


LG, Martina

Alt 09.11.2013, 17:03   #12
schrauber
/// the machine
/// TB-Ausbilder
 

TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Die Funde von ESET sind doch alle schon in Quarantäne

Noch Probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 09.11.2013, 17:22   #13
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Zitat:
Zitat von schrauber Beitrag anzeigen
Die Funde von ESET sind doch alle schon in Quarantäne

Noch Probleme?
Was ist denn mit dem Security check? Der lief doch nicht?!

Der Experte bist Du. Ich kann leider nicht beurteilen, ob es noch Probleme gibt.

Muss das, was in Quarantäne ist, nicht weg??

Meckern tut der Rechner z. Z. nicht. Aber ist dann alles i. O.

Nachdem was ich alles über den TR/ATRAPS gelesen habe (auch hier im Board), ist dieser Trojaner ja nicht unbedingt sicher wegzukriegen und manche meinen sogar, alles müsse "platt gemacht" werden, um sicher zu sein.

Sind wir denn jetzt fertig? Muss/sollte ich meine Passwörte ändern? Bin doch ein wenig nervös.

LG, Martina

Alt 10.11.2013, 06:23   #14
schrauber
/// the machine
/// TB-Ausbilder
 

TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Zitat:
ist dieser Trojaner ja nicht unbedingt sicher wegzukriegen und manche meinen sogar, alles müsse "platt gemacht" werden, um sicher zu sein.
wer sagt denn sowas?

Securitycheck kann man einfach ignorieren, ist kein muss.


Fertig

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 10.11.2013, 14:46   #15
Gast77
 
TR/ATRAPS.Gen2 auf Laptop/Vista - Standard

TR/ATRAPS.Gen2 auf Laptop/Vista



Hallo,

Zitat:
Zitat von schrauber Beitrag anzeigen
wer sagt denn sowas?
Nunja, selbst hier im Board gibt z. B. Cosinus diese Rootkit-Warnung mit auf den Weg. Für mich als Laie heißt das: sehr, sehr gefährlich, evtl. Neuinstallation (platt machen).

Ich habe die Bereinigung hinter mir (es wurde gemeldet NIRCMD.exe konnte nicht gefunden, also auch nicht entfernt werden?!) und arbeite nun die anderen Dinge ab.

Z. Z. habe ich Probleme, das "Sicherheitsupdate für Windows Vista (KB2536276)" zu installieren. Er meldet einen Trust_E_System Error 80096001. Hat das was mit dem Trojaner zu tun oder ist das ein anderes (zu vernachlässigendes) Problem?

Ansonsten: Ich habe Avira. Ist das ok? MalwareByte Anti Malware hatte ich schon. Für den wöchentlichen Scan reicht der QuickScan oder sollte der komplette Durchlauf gemacht werden? WinPatrol wird besorgt.

Den AdblockPlus hatte ich auch schon, der NoScript kommt noch.

Bisher habe ich mit dem CCleaner gearbeitet. Der ist nicht so der Hit, wie ich jetzt erfahren habe. Den deinstalliere ich also und nehme den TFC?

Entschuldige die vielleicht nervigen Zusatzfragen, aber wenn man (Frau) mal einen Fachmann hat...

Abschließend ein wirklich fettes Dankeschön . Ein schöner Platz im Himmel ist Dir sicher.
Du und der Rest des Teams: Ihr leistet wirklich eine tolle Arbeit .

LG, Martina


Nachtrag

... bin jetzt mit allem durch.

Secunia läuft bei mir nicht. Er kann keine Verbindung herstellen. Irgend etwas mit proxy-Unterstützung??

Der TCF läuft bei mir auch nicht. Das Programm stürzte ab. Danach hatte ich einen blanken Bildschirm und musste über strg/Alt/entf. neustarten. Plötzlich hatte ich überall desktop.ini und Ordner mit Verknüpfungen. Das habe ich dann über die Ordnereinstellungen (google sei Dank) wieder (verstecken) können.

Gibt es eine Alternative zu diesem TCF?

LG, Martina

Antwort

Themen zu TR/ATRAPS.Gen2 auf Laptop/Vista
andere, anderen, angezeigt, anleitung, computer, datei, download, durchgeführt, erfolgreich, parallel, pup.optional.opencandy, richtig, scanne, scannen, super, tr/atraps.gen, tr/atraps.gen2, trojaner, unbedingt, versucht, vorhanden, wirklich, zugriff



Ähnliche Themen: TR/ATRAPS.Gen2 auf Laptop/Vista


  1. TR/ATRAPS.Gen2 und TR/AGENT.ZDZR werden fortlaufend von AntiVir auf meinem Laptop entdeckt - nicht löschbar
    Log-Analyse und Auswertung - 03.12.2013 (3)
  2. Windows Vista Befall mit TR/ATRAPS.Gen und TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 21.10.2013 (13)
  3. TR/ATRAPS.Gen2 in C:\windows\installer\...\80000032.@ Avira Fund auf Vista PC
    Log-Analyse und Auswertung - 27.07.2013 (23)
  4. Trojaner: tr/atraps.gen2, tr/atraps.gen, tr/atraps.gen3, tr/atraps.gen4, tr/atraps.gen5, tr/atraps.gen7 und services.exe virus
    Plagegeister aller Art und deren Bekämpfung - 11.01.2013 (29)
  5. TR/Sirefef.16896 und TR/ATRAPS.Gen2 auf Laptop gefunden
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (33)
  6. TR/Atraps.gen - TR/Atraps.gen2 - TR/Rogue.kdv.686334 - von AVIRA Antivirus entdeckt
    Log-Analyse und Auswertung - 05.09.2012 (24)
  7. TR/ATRAPS.Gen2 und TR/ATRAPS.Gen wird alle paar Minuten von Antivir gemeldet
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (22)
  8. Avira: 800000cb.@ TR/ATRAPS.Gen und TR/ATRAPS.Gen2 in C:\Windows\Installer\.. und weitere Pfaden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (25)
  9. antivir meldet alle paar minuten den fund TR/ATRAPS.Gen und TR/ATRAPS.Gen2
    Log-Analyse und Auswertung - 01.08.2012 (4)
  10. Laptop befallen mit TR/ATRAPS.Gen und TR/ATRAPS.Gen2
    Log-Analyse und Auswertung - 31.07.2012 (5)
  11. Von Avira gefundene Trojaner - TR/Crypt.ZPACK.Gen, TR/ATRAPS.Gen, TR/ATRAPS.Gen2 und BDS/ZAccess.T
    Log-Analyse und Auswertung - 27.07.2012 (25)
  12. Trojaner Atraps.Gen, Atraps.Gen2 und Sirefef.AB.20 - gelöscht, aber auch sicher?
    Log-Analyse und Auswertung - 14.07.2012 (23)
  13. TR/ATRAPS.GEN, TR/ATRAPS.Gen2 6 seit ein paar Minuten auch noch ein Sirefef.P.528
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (1)
  14. Antivir findet 4 Trojaner: TR/ATRAPS.Gen, TR/ATRAPS.Gen2, Sirefef.P.342, Dldr.Phdet.E.41
    Log-Analyse und Auswertung - 11.07.2012 (1)
  15. Nach Befall tr/atraps.gen tr/atraps.gen2 formatiert - Computer startet selbständig neu
    Log-Analyse und Auswertung - 09.07.2012 (1)
  16. Virus (Rootkit.0Access, TR/ATRAPS.Gen, TR/ATRAPS.Gen2) entfernt; tatsächlich clean?
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (7)
  17. TR/Small.FI, TR/ATRAPS.Gen und TR/ATRAPS.Gen2 gefunden, aber nach Systemwiederherstellung weg?
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (4)

Zum Thema TR/ATRAPS.Gen2 auf Laptop/Vista - Hallo, wie angegeben, habe ich seit gestern nachmittag besagten Trojaner auf meinem Laptop. Der Zugriff wurde laut Avira verweigert, hier: C:Program FilesGoogle/Desktop/.../80000032.@. Bevor mir klar war, wie schlimm es wohl - TR/ATRAPS.Gen2 auf Laptop/Vista...
Archiv
Du betrachtest: TR/ATRAPS.Gen2 auf Laptop/Vista auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.