Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Interpol Virus Bildschirmsperre

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.12.2013, 17:34   #1
Shorty1234
 
Interpol Virus Bildschirmsperre - Standard

Interpol Virus Bildschirmsperre



Guten Abend,

ich habe seit einigen Wochen einen Virus/Trojaner auf meinem Laptop. --> Interpol mit Bildschirmsperre etc., Aufforderung zum Bezahlen eines Bußgeldes wegen Verstoß gegen alles mögliche.

Ich habe mich vorher in diesem Forum schon etwas schlau gemacht und habe mir dieses FRST. runtergeladen und dann wie beschrieben ausgeführt. Hier unten poste ich euch mal den Auswurf, in der Hoffnung das ihr mir helfen könnt.

Vielen Dank!

P.S ich habe wirklich keine Ahnung von dem ganzen

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 01-12-2013
Ran by SYSTEM on MINWINPC on 02-12-2013 18:51:33
Running from F:\
Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe [34672 2008-06-11] (Adobe Systems Incorporated)
HKLM\...\Run: [ArcadeDeluxeAgent] - C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe [156968 2009-01-20] (CyberLink Corp.)
HKLM\...\Run: [CLMLServer] - C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe [202024 2009-01-20] (CyberLink)
HKLM\...\Run: [StartCCC] - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [61440 2009-01-27] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [Google Desktop Search] - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2011-05-06] (Google)
HKLM\...\Run: [AmIcoSinglun] - C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe [237568 2008-10-24] (AlcorMicro Co., Ltd.)
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [6957600 2009-03-10] (Realtek Semiconductor)
HKLM\...\Run: [Skytel] - C:\Program Files\Realtek\Audio\HDA\SkyTel.exe [1833504 2009-03-10] (Realtek Semiconductor Corp.)
HKLM\...\Run: [PLFSetI] - C:\Windows\PLFSetI.exe [200704 2008-07-29] ()
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1410344 2008-12-04] (Synaptics, Inc.)
HKLM\...\Run: [LManager] - C:\Program Files\Launch Manager\LManager.exe [870920 2009-02-23] (Dritek System Inc.)
HKLM\...\Run: [BackupManagerTray] - C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe [249600 2009-04-11] (NewTech Infosystems, Inc.)
HKLM\...\Run: [Acer ePower Management] - C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe [440864 2009-04-15] (Acer Incorporated)
HKLM\...\Run: [EgisTecLiveUpdate] - C:\Program Files\EgisTec Egis Software Update\EgisUpdate.exe [199464 2008-10-27] (EgisTec Inc.)
HKLM\...\Run: [mwlDaemon] - C:\Program Files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe [346672 2008-10-27] (EgisTec Inc.)
HKLM\...\Run: [PlayMovie] - C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe [173288 2008-12-26] (Acer Corp.)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2010-11-29] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [421160 2011-04-14] (Apple Inc.)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [253672 2011-01-07] (Sun Microsystems, Inc.)
HKLM\...\Run: [SweetIM] - C:\Program Files\SweetIM\Messenger\SweetIM.exe [114992 2012-01-19] (SweetIM Technologies Ltd.)
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default\...\Run: [ProductReg] - C:\Program Files\Acer\WR_PopUp\ProductReg.exe [ 2008-11-16] (Acer)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [ProductReg] - C:\Program Files\Acer\WR_PopUp\ProductReg.exe [ 2008-11-16] (Acer)
HKU\Marco Bruhn.MarcoBruhn-PC\...\Run: [ProductReg] - C:\Program Files\Acer\WR_PopUp\ProductReg.exe [ 2008-11-16] (Acer)
HKU\Marco Bruhn.MarcoBruhn-PC\...\Run: [msnmsgr] - C:\Program Files\Windows Live\Messenger\msnmsgr.exe [ 2008-12-02] (Microsoft Corporation)
HKU\Marco Bruhn.MarcoBruhn-PC\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [ 2011-12-18] (Google Inc.)
HKU\Marco Bruhn.MarcoBruhn-PC\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
Startup: C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oiwlrode.lnk
ShortcutTarget: oiwlrode.lnk -> C:\ProgramData\edorlwio.dss (Корпорация Майкрософт)
Startup: C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
ShortcutTarget: OpenOffice.org 3.3.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()

========================== Services (Whitelisted) =================

S2 CLHNService; C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [75048 2008-12-18] ()
S2 ePowerSvc; C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe [703008 2009-04-15] (Acer Incorporated)
S3 GoogleDesktopManager-051210-111108; C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2011-05-06] (Google)
S2 MWLService; C:\Program Files\EgisTec\MyWinLocker 3\x86\\MWLService.exe [306736 2008-10-27] (EgisTec Inc.)
S2 N360; C:\Program Files\Norton 360\Engine\21.1.0.18\diMaster.dll [567600 2013-10-07] (Symantec Corporation)
S3 npggsvc; C:\Windows\system32\GameMon.des [4005936 2011-06-06] (INCA Internet Co., Ltd.)
S2 NTI IScheduleSvc; C:\Program Files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [61184 2009-04-11] (NewTech Infosystems, Inc.)
S2 NTISchedulerSvc; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [144632 2008-09-23] (NewTech Infosystems, Inc.)
S2 PnkBstrA; C:\Windows\system32\PnkBstrA.exe [76888 2013-05-03] ()
S2 Winmgmt; C:\Windows\system32\svchost.exe [21504 2008-01-20] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

S1 BHDrvx86; C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\BASHDefs\20131114.001\BHDrvx86.sys [1096280 2013-10-22] (Symantec Corporation)
S1 ccSet_N360; C:\Windows\system32\drivers\N360\1501000.012\ccSetx86.sys [127064 2013-09-25] (Symantec Corporation)
S1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [376920 2013-11-26] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [108120 2013-11-26] (Symantec Corporation)
S1 IDSVix86; C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\IPSDefs\20131125.001\IDSvix86.sys [393816 2013-11-01] (Symantec Corporation)
S3 libusb0; C:\Windows\System32\drivers\libusb0.sys [28672 2007-03-20] (hxxp://libusb-win32.sourceforge.net)
S2 mwlPSDFilter; C:\Windows\System32\DRIVERS\mwlPSDFilter.sys [19504 2008-10-09] (Egis Incorporated.)
S2 mwlPSDNServ; C:\Windows\System32\DRIVERS\mwlPSDNServ.sys [16432 2008-10-09] (Egis Incorporated.)
S2 mwlPSDVDisk; C:\Windows\System32\DRIVERS\mwlPSDVDisk.sys [59952 2008-10-09] (Egis Incorporated.)
S3 NAVENG; C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\VirusDefs\20131126.002\NAVENG.SYS [93272 2013-11-12] (Symantec Corporation)
S3 NAVEX15; C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\VirusDefs\20131126.002\NAVEX15.SYS [1612376 2013-11-12] (Symantec Corporation)
S3 NPPTNT2; C:\Windows\system32\npptNT2.sys [4682 2005-01-01] (INCA Internet Co., Ltd.)
S3 OVT511Plus; C:\Windows\System32\Drivers\omcamvid.sys [167816 2001-09-18] (OmniVision Technologies, Inc.)
S3 RTHDMIAzAudService; C:\Windows\System32\drivers\RtHDMIV.sys [153952 2009-02-20] (Realtek Semiconductor Corp.)
S1 SRTSP; C:\Windows\system32\drivers\N360\1501000.012\SRTSP.SYS [651352 2013-09-26] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\N360\1501000.012\SRTSPX.SYS [32344 2013-07-30] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\N360\1501000.012\SYMDS.SYS [367704 2013-07-31] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\N360\1501000.012\SYMEFA.SYS [935512 2013-09-26] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [142936 2013-11-03] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\N360\1501000.012\Ironx86.SYS [206936 2013-07-30] (Symantec Corporation)
S1 SYMTDIv; C:\Windows\system32\drivers\N360\1501000.012\SYMTDIV.SYS [383576 2013-09-25] (Symantec Corporation)
S3 dump_wmimmc; \??\c:\program files\steam\steamapps\common\ava\Binaries\GameGuard\dump_wmimmc.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S2 SharedAccess; 

========================== Drivers MD5 =======================

C:\Windows\System32\drivers\acpi.sys 82B296AE1892FE3DBEE00C9CF92F8AC7
C:\Windows\system32\drivers\adp94xx.sys 04F0FCAC69C7C71A3AC4EB97FAFC8303
C:\Windows\system32\drivers\adpahci.sys 60505E0041F7751BDBB80F88BF45C2CE
C:\Windows\system32\drivers\adpu160m.sys 8A42779B02AEC986EAB64ECFC98F8BD7
C:\Windows\system32\drivers\adpu320.sys 241C9E37F8CE45EF51C3DE27515CA4E5
C:\Windows\system32\drivers\afd.sys 3911B972B55FEA0478476B2E777B29FA
C:\Windows\System32\DRIVERS\AGRSM.sys 38325C6AA8EAE011897D61CE48EC6435
C:\Windows\system32\drivers\agp440.sys 13F9E33747E6B41A3FF305C37DB0D360
C:\Windows\system32\drivers\djsvs.sys ==> MD5 is legit
C:\Windows\system32\drivers\aliide.sys 9EAEF5FC9B8E351AFA7E78A6FAE91F91
C:\Windows\system32\drivers\amdagp.sys C47344BC706E5F0B9DCE369516661578
C:\Windows\system32\drivers\amdide.sys 9B78A39A4C173FDBC1321E0DD659B34C
C:\Windows\system32\drivers\amdk7.sys 18F29B49AD23ECEE3D2A826C725C8D48
C:\Windows\system32\drivers\amdk8.sys 93AE7F7DD54AB986A6F1A1B37BE7442D
C:\Windows\system32\drivers\arc.sys 5D2888182FB46632511ACEE92FDAD522
C:\Windows\system32\drivers\arcsas.sys 5E2A321BD7C8B3624E41FDEC3E244945
C:\Windows\System32\DRIVERS\asyncmac.sys 53B202ABEE6455406254444303E87BE1
C:\Windows\System32\drivers\atapi.sys 1F05B78AB91C9075565A9D8A4B880BC4
C:\Windows\System32\DRIVERS\athr.sys ACDB46B1A467752A2F280C68C8461556
C:\Windows\System32\DRIVERS\atikmdag.sys 6F2CC6403012375385D556BF39382B74
C:\Windows\System32\DRIVERS\b57nd60x.sys 502F1C30BD50B32D00CE4DCAECC3D3C7
C:\Windows\System32\Drivers\Beep.sys 67E506B75BD5326A3EC7B70BD014DFB6
C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\BASHDefs\20131114.001\BHDrvx86.sys 22C49DE7297AE80F27F2E4A00F3D7C94
C:\Windows\system32\drivers\blbdrive.sys D4DF28447741FD3D953526E33A617397
C:\Windows\System32\DRIVERS\bowser.sys 35F376253F687BDE63976CCB3F2108CA
C:\Windows\system32\drivers\brfiltlo.sys ==> MD5 is legit
C:\Windows\system32\drivers\brfiltup.sys ==> MD5 is legit
C:\Windows\system32\drivers\brserid.sys ==> MD5 is legit
C:\Windows\system32\drivers\brserwdm.sys ==> MD5 is legit
C:\Windows\system32\drivers\brusbmdm.sys ==> MD5 is legit
C:\Windows\system32\drivers\brusbser.sys ==> MD5 is legit
C:\Windows\system32\drivers\bthmodem.sys ==> MD5 is legit
C:\Windows\system32\drivers\N360\1501000.012\ccSetx86.sys 56C2811FD0D7B727808A69407B5BFAE0
C:\Windows\System32\DRIVERS\cdfs.sys 7ADD03E75BEB9E6DD102C3081D29840A
C:\Windows\System32\DRIVERS\cdrom.sys 6B4BFFB9BECD728097024276430DB314
C:\Windows\system32\drivers\circlass.sys E5D4133F37219DBCFE102BC61072589D
C:\Windows\System32\CLFS.sys D7659D3B5B92C31E84E53C1431F35132
C:\Windows\System32\DRIVERS\CmBatt.sys 99AFC3795B58CC478FBBBCDC658FCB56
C:\Windows\system32\drivers\cmdide.sys 0CA25E686A4928484E9FDABD168AB629
C:\Windows\System32\DRIVERS\compbatt.sys 6AFEF0B60FA25DE07C0968983EE4F60A
C:\Windows\System32\drivers\crcdisk.sys 741E9DFF4F42D2D8477D0FC1DC0DF871
C:\Windows\system32\drivers\crusoe.sys 1F07BECDCA750766A96CDA811BA86410
C:\Windows\System32\Drivers\dfsc.sys 622C41A07CA7E6DD91770F50D532CB6C
C:\Windows\System32\DRIVERS\ssudbus.sys 7BEF2E2159EDB03105BC7A8BABE04726
C:\Windows\System32\drivers\disk.sys 5D4AEFC3386920236A548271F8F1AF6A
C:\Windows\System32\DRIVERS\DKbFltr.sys 73BAF270D24FE726B9CD7F80BB17A23D
C:\Windows\System32\drivers\drmkaud.sys 97FEF831AB90BEE128C9AF390E243F80
C:\Windows\System32\drivers\dxgkrnl.sys 988670D8343EF9835FB3659DB71B2EFA
C:\Windows\System32\DRIVERS\E1G60I32.sys 5425F74AC0C1DBD96A1E04F17D63F94C
C:\Windows\System32\drivers\ecache.sys 7F64EA048DCFAC7ACF8B4D7B4E6FE371
C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys 08EE8892FD19A6A951F40254E97F6EF3
C:\Windows\system32\drivers\elxstor.sys 23B62471681A124889978F6295B3F4C6
C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys 050D136C61DBCF36C257206ADBBEC009
C:\Windows\system32\drivers\errdev.sys 3DB974F3935483555D7148663F726C61
C:\Windows\System32\Drivers\exfat.sys 22B408651F9123527BCEE54B4F6C5CAE
C:\Windows\System32\Drivers\fastfat.sys 1E9B9A70D332103C52995E957DC09EF8
C:\Windows\System32\DRIVERS\fdc.sys AFE1E8B9782A0DD7FB46BBD88E43F89A
C:\Windows\System32\drivers\fileinfo.sys A8C0139A884861E3AAE9CFE73B208A9F
C:\Windows\System32\drivers\filetrace.sys 0AE429A696AECBC5970E3CF2C62635AE
C:\Windows\System32\DRIVERS\flpydisk.sys 85B7CF99D532820495D68D747FDA9EBD
C:\Windows\System32\drivers\fltmgr.sys 01334F9EA68E6877C4EF05D3EA8ABB05
C:\Windows\System32\Drivers\Fs_Rec.sys B972A66758577E0BFD1DE0F91AAA27B5
C:\Windows\system32\drivers\gagp30kx.sys 34582A6E6573D54A07ECE5FE24A126B5
C:\Windows\System32\DRIVERS\GEARAspiWDM.sys ==> MD5 is legit
C:\Windows\System32\drivers\HdAudio.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\HDAudBus.sys 062452B7FFD68C8C042A6261FE8DFF4A
C:\Windows\system32\drivers\hidbth.sys ==> MD5 is legit
C:\Windows\system32\drivers\hidir.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\hidusb.sys CCA4B519B17E23A00B826C55716809CC
C:\Windows\system32\drivers\hpcisss.sys 16EE7B23A009E00D835CDB79574A91A6
C:\Windows\System32\drivers\HTTP.sys F870AA3E254628EBEAFE754108D664DE
C:\Windows\system32\drivers\i2omp.sys C6B032D69650985468160FC9937CF5B4
C:\Windows\System32\DRIVERS\i8042prt.sys 22D56C8184586B7A1F6FA60BE5F5A2BD
C:\Windows\System32\DRIVERS\iaStor.sys 71ECC07BC7C5E24C3DD01D8A29A24054
C:\Windows\system32\drivers\iastorv.sys 54155EA1B0DF185878E0FC9EC3AC3A14
C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\IPSDefs\20131125.001\IDSvix86.sys 45D86C8F27382832BCADBC01552E0CB3
C:\Windows\system32\drivers\iirsp.sys ==> MD5 is legit
C:\Windows\System32\drivers\RTKVHDA.sys FFB0B713A54DD05193DBCD0B790B37EE
C:\Windows\system32\drivers\intelide.sys 83AA759F3189E6370C30DE5DC5590718
C:\Windows\System32\DRIVERS\intelppm.sys 224191001E78C89DFA78924C3EA595FF
C:\Windows\System32\DRIVERS\ipfltdrv.sys 62C265C38769B864CB25B4BCF62DF6C3
C:\Windows\system32\drivers\ipmidrv.sys B25AAF203552B7B3491139D582B39AD1
C:\Windows\System32\DRIVERS\ipnat.sys 8793643A67B42CEC66490B2A0CF92D68
C:\Windows\System32\DRIVERS\irda.sys E50A95179211B12946F7E035D60AF560
C:\Windows\System32\drivers\irenum.sys 109C0DFB82C3632FBD11949B73AEEAC9
C:\Windows\system32\drivers\isapnp.sys 6C70698A3E5C4376C6AB5C7C17FB0614
C:\Windows\System32\DRIVERS\msiscsi.sys 232FA340531D940AAC623B121A595034
C:\Windows\system32\drivers\iteatapi.sys ==> MD5 is legit
C:\Windows\system32\drivers\iteraid.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\k57nd60x.sys EAC21E8014C7E6EE341AFFFB7E2BBD54
C:\Windows\System32\DRIVERS\kbdclass.sys 37605E0A8CF00CBBA538E753E4344C6E
C:\Windows\System32\DRIVERS\kbdhid.sys EDE59EC70E25C24581ADD1FBEC7325F7
C:\Windows\System32\Drivers\ksecdd.sys 4A1445EFA932A3BAF5BDB02D7131EE20
C:\Windows\System32\drivers\libusb0.sys 34D6730E198A5B0FCE0790A6B4769EF2
C:\Windows\System32\DRIVERS\lltdio.sys D1C5883087A0C3F1344D9D55A44901F6
C:\Windows\system32\drivers\lsi_fc.sys C7E15E82879BF3235B559563D4185365
C:\Windows\system32\drivers\lsi_sas.sys EE01EBAE8C9BF0FA072E0FF68718920A
C:\Windows\system32\drivers\lsi_scsi.sys 912A04696E9CA30146A62AFA1463DD5C
C:\Windows\system32\drivers\luafv.sys 8F5C7426567798E62A3B3614965D62CC
C:\Windows\system32\drivers\megasas.sys 0001CE609D66632FA17B84705F658879
C:\Windows\system32\drivers\megasr.sys C252F32CD9A49DBFC25ECF26EBD51A99
C:\Windows\System32\drivers\modem.sys E13B5EA0F51BA5B1512EC671393D09BA
C:\Windows\System32\DRIVERS\monitor.sys 0A9BB33B56E294F686ABB7C1E4E2D8A8
C:\Windows\System32\DRIVERS\mouclass.sys 5BF6A1326A335C5298477754A506D263
C:\Windows\System32\DRIVERS\mouhid.sys 93B8D4869E12CFBE663915502900876F
C:\Windows\System32\drivers\mountmgr.sys BDAFC88AA6B92F7842416EA6A48E1600
C:\Windows\system32\drivers\mpio.sys 511D011289755DD9F9A7579FB0B064E6
C:\Windows\System32\drivers\mpsdrv.sys 22241FEBA9B2DEFA669C8CB0A8DD7D2E
C:\Windows\system32\drivers\mraid35x.sys ==> MD5 is legit
C:\Windows\system32\drivers\mrxdav.sys 82CEA0395524AACFEB58BA1448E8325C
C:\Windows\System32\DRIVERS\mrxsmb.sys 1E94971C4B446AB2290DEB71D01CF0C2
C:\Windows\System32\DRIVERS\mrxsmb10.sys 4FCCB34D793B116423209C0F8B7A3B03
C:\Windows\System32\DRIVERS\mrxsmb20.sys C3CB1B40AD4A0124D617A1199B0B9D7C
C:\Windows\System32\drivers\msahci.sys 28023E86F17001F7CD9B15A5BC9AE07D
C:\Windows\system32\drivers\msdsm.sys 4468B0F385A86ECDDAF8D3CA662EC0E7
C:\Windows\System32\Drivers\Msfs.sys A9927F4A46B816C92F461ACB90CF8515
C:\Windows\System32\drivers\msisadrv.sys 0F400E306F385C56317357D6DEA56F62
C:\Windows\System32\drivers\MSKSSRV.sys D8C63D34D9C9E56C059E24EC7185CC07
C:\Windows\System32\drivers\MSPCLOCK.sys 1D373C90D62DDB641D50E55B9E78D65E
C:\Windows\System32\drivers\MSPQM.sys B572DA05BF4E098D4BBA3A4734FB505B
C:\Windows\System32\Drivers\MsRPC.sys B49456D70555DE905C311BCDA6EC6ADB
C:\Windows\System32\DRIVERS\mssmbios.sys E384487CB84BE41D09711C30CA79646C
C:\Windows\System32\drivers\MSTEE.sys 7199C1EEC1E4993CAF96B8C0A26BD58A
C:\Windows\System32\Drivers\mup.sys 6A57B5733D4CB702C8EA4542E836B96C
C:\Windows\System32\DRIVERS\mwlPSDFilter.sys 2DE94E435C3EFDE58C7B1856D4F20724
C:\Windows\System32\DRIVERS\mwlPSDNServ.sys 61920A7146EED3D903DBBB8EC295AF76
C:\Windows\System32\DRIVERS\mwlPSDVDisk.sys E0F49721E68EBD2983E84C44FADA6665
C:\Windows\System32\DRIVERS\nwifi.sys 85C44FDFF9CF7E72A40DCB7EC06A4416
C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\VirusDefs\20131126.002\NAVENG.SYS 81E928EE3751FAF725C87CC17726C05D
C:\Program Files\Norton 360\NortonData\21.0.0.100\Definitions\VirusDefs\20131126.002\NAVEX15.SYS E0C39FA6C76AE8ED53ABF043F35ECDFF
C:\Windows\System32\drivers\ndis.sys 1357274D1883F68300AEADD15D7BBB42
C:\Windows\System32\DRIVERS\ndistapi.sys 0E186E90404980569FB449BA7519AE61
C:\Windows\System32\DRIVERS\ndisuio.sys D6973AA34C4D5D76C0430B181C3CD389
C:\Windows\System32\DRIVERS\ndiswan.sys 818F648618AE34F729FDB47EC68345C3
C:\Windows\System32\Drivers\NDProxy.sys 71DAB552B41936358F3B541AE5997FB3
C:\Windows\System32\DRIVERS\netbios.sys BCD093A5A6777CF626434568DC7DBA78
C:\Windows\System32\DRIVERS\netbt.sys ECD64230A59CBD93C85F1CD1CAB9F3F6
C:\Windows\system32\drivers\nfrd960.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Npfs.sys D36F239D7CCE1931598E8FB90A0DBC26
C:\Windows\system32\npptNT2.sys 9131FE60ADFAB595C8DA53AD6A06AA31
C:\Windows\System32\DRIVERS\nscirda.sys 6D8D2E5652FC2442C810C5D8BE784148
C:\Windows\System32\drivers\nsiproxy.sys 609773E344A97410CE4EBF74A8914FCF
C:\Windows\System32\Drivers\Ntfs.sys 2C1121F2B87E9A6B12485DF53CD848C7
C:\Windows\System32\Drivers\NTIDrvr.sys 6DCAA65F49EF3B97A5CFFC0CB5DE1C2F
C:\Windows\system32\drivers\ntrigdigi.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Null.sys C5DBBCDA07D780BDA9B685DF333BB41E
C:\Windows\system32\drivers\nvraid.sys 2EDF9E7751554B42CBB60116DE727101
C:\Windows\system32\drivers\nvstor.sys ABED0C09758D1D97DB0042DBB2688177
C:\Windows\system32\drivers\nv_agp.sys 18BBDF913916B71BD54575BDB6EEAC0B
C:\Windows\System32\DRIVERS\ohci1394.sys 790E27C3DB53410B40FF9EF2FD10A1D9
C:\Windows\System32\Drivers\omcamvid.sys C5739BE3A8EECDF951955A38E1741F45
C:\Windows\system32\drivers\parport.sys ==> MD5 is legit
C:\Windows\System32\drivers\partmgr.sys B9C2B89F08670E159F7181891E449CD9
C:\Windows\system32\drivers\parvdm.sys ==> MD5 is legit
C:\Windows\System32\drivers\pci.sys 941DC1D19E7E8620F40BBC206981EFDB
C:\Windows\system32\drivers\pciide.sys FC175F5DDAB666D7F4D17449A547626F
C:\Windows\system32\DRIVERS\pcmcia.sys B7C5A8769541900F6DFA6FE0C5E4D513
C:\Windows\System32\drivers\peauth.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\raspptp.sys ECFFFAEC0C1ECD8DBC77F39070EA1DB1
C:\Windows\system32\drivers\processr.sys 2027293619DD0F047C584CF2E7DF4FFD
C:\Windows\System32\DRIVERS\pacer.sys 99514FAA8DF93D34B5589187DB3AA0BA
C:\Windows\system32\drivers\ql2300.sys 0A6DB55AFB7820C99AA1F3A1D270F4F6
C:\Windows\system32\drivers\ql40xx.sys ==> MD5 is legit
C:\Windows\system32\drivers\qwavedrv.sys 9F5E0E1926014D17486901C88ECA2DB7
C:\Windows\System32\DRIVERS\rasacd.sys 147D7F9C556D259924351FEB0DE606C3
C:\Windows\System32\DRIVERS\rasl2tp.sys A214ADBAF4CB47DD2728859EF31F26B0
C:\Windows\System32\DRIVERS\raspppoe.sys 509A98DD18AF4375E1FC40BC175F1DEF
C:\Windows\System32\DRIVERS\rassstp.sys 2005F4A1E05FA09389AC85840F0A9E4D
C:\Windows\System32\DRIVERS\rdbss.sys B14C9D5B9ADD2F84F70570BBBFAA7935
C:\Windows\System32\DRIVERS\RDPCDD.sys 89E59BE9A564262A3FB6C4F4F1CD9899
C:\Windows\system32\drivers\rdpdr.sys FBC0BACD9C3D7F6956853F64A66E252D
C:\Windows\System32\drivers\rdpencdd.sys 9D91FE5286F748862ECFFA05F8A0710C
C:\Windows\System32\Drivers\RDPWD.sys C127EBD5AFAB31524662C48DFCEB773A
C:\Windows\System32\DRIVERS\rspndr.sys 9C508F4074A39E8B4B31D27198146FAD
C:\Windows\System32\drivers\RtHDMIV.sys 4A8393F03CB2F40E08126D83916C5633
C:\Windows\System32\drivers\RTSTOR.SYS 9B09F336DE36A7A6CA871DE8A7847B65
C:\Windows\system32\drivers\sbp2port.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\sdbus.sys 126EA89BCC413EE45E3004FB0764888F
C:\Windows\System32\Drivers\secdrv.sys ==> MD5 is legit
C:\Windows\system32\drivers\serenum.sys ==> MD5 is legit
C:\Windows\system32\drivers\serial.sys ==> MD5 is legit
C:\Windows\system32\drivers\sermouse.sys 8AF3D28A879BF75DB53A0EE7A4289624
C:\Windows\system32\drivers\sffdisk.sys 3EFA810BDCA87F6ECC24F9832243FE86
C:\Windows\system32\drivers\sffp_mmc.sys E95D451F7EA3E583AEC75F3B3EE42DC5
C:\Windows\system32\drivers\sffp_sd.sys 3D0EA348784B7AC9EA9BD9F317980979
C:\Windows\system32\drivers\sfloppy.sys ==> MD5 is legit
C:\Windows\system32\drivers\sisagp.sys 1D76624A09A054F682D746B924E2DBC3
C:\Windows\system32\drivers\sisraid2.sys 43CB7AA756C7DB280D01DA9B676CFDE2
C:\Windows\system32\drivers\sisraid4.sys A99C6C8B0BAA970D8AA59DDC50B57F94
C:\Windows\System32\DRIVERS\smb.sys 7B75299A4D201D6A6533603D6914AB04
C:\Windows\System32\Drivers\spldr.sys 7AEBDEEF071FE28B0EEF2CDD69102BFF
C:\Windows\system32\drivers\N360\1501000.012\SRTSP.SYS 40714B1C586AF7E61BED7AE1D5113280
C:\Windows\system32\drivers\N360\1501000.012\SRTSPX.SYS 1B6D68043F488F70E889276E1585B7AA
C:\Windows\System32\DRIVERS\srv.sys 41987F9FC0E61ADF54F581E15029AD91
C:\Windows\System32\DRIVERS\srv2.sys FF33AFF99564B1AA534F58868CBE41EF
C:\Windows\System32\DRIVERS\srvnet.sys 7605C0E1D01A08F3ECD743F38B834A44
C:\Windows\System32\DRIVERS\ssudmdm.sys 359FEE084F1173FFFFD7F9CCBD43D47F
C:\Windows\System32\DRIVERS\swenum.sys 7BA58ECF0C0A9A69D44B3DCA62BECF56
C:\Windows\system32\drivers\symc8xx.sys ==> MD5 is legit
C:\Windows\System32\drivers\N360\1501000.012\SYMDS.SYS 4C3DEF736D3857570166DE5C858600F5
C:\Windows\System32\drivers\N360\1501000.012\SYMEFA.SYS 68762EF9ED8A8D4A07112B3E3590EA29
C:\Windows\system32\Drivers\SYMEVENT.SYS E987A9CB539147527F56943BB34B7375
C:\Windows\system32\drivers\N360\1501000.012\Ironx86.SYS E3A3CA230C7547364BB3D9DA0C301A36
C:\Windows\system32\drivers\N360\1501000.012\SYMTDIV.SYS 9E5268E02EFB03B5C30CAE9B45DB11B8
C:\Windows\system32\drivers\sym_hi.sys ==> MD5 is legit
C:\Windows\system32\drivers\sym_u3.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\SynTP.sys AEE6E411A915F50101895BA8DC5C15D4
C:\Windows\System32\drivers\tcpip.sys D18D53974FD715D50FC76F9FFE1C830D
C:\Windows\System32\DRIVERS\tcpip.sys D18D53974FD715D50FC76F9FFE1C830D
C:\Windows\System32\drivers\tcpipreg.sys 608C345A255D82A6289C2D468EB41FD7
C:\Windows\System32\drivers\tdpipe.sys 5DCF5E267BE67A1AE926F2DF77FBCC56
C:\Windows\System32\drivers\tdtcp.sys 389C63E32B3CEFED425B61ED92D3F021
C:\Windows\System32\DRIVERS\tdx.sys 76B06EB8A01FC8624D699E7045303E54
C:\Windows\System32\DRIVERS\termdd.sys 3CAD38910468EAB9A6479E2F01DB43C7
C:\Windows\System32\DRIVERS\tssecsrv.sys F4EAA7ECBCB25DE901C9B7F2CDCDA0B3
C:\Windows\System32\DRIVERS\tunnel.sys 300DB877AC094FEAB0BE7688C3454A9C
C:\Windows\system32\drivers\uagp35.sys 7D33C4DB2CE363C8518D2DFCF533941F
C:\Windows\System32\Drivers\UBHelper.sys F763E070843EE2803DE1395002B42938
C:\Windows\System32\DRIVERS\udfs.sys D9728AF68C4C7693CB100B8441CBDEC6
C:\Windows\system32\drivers\uliagpkx.sys B0ACFDC9E4AF279E9116C03E014B2B27
C:\Windows\system32\drivers\uliahci.sys 9224BB254F591DE4CA8D572A5F0D635C
C:\Windows\system32\drivers\ulsata.sys ==> MD5 is legit
C:\Windows\system32\drivers\ulsata2.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\umbus.sys 32CFF9F809AE9AED85464492BF3E32D2
C:\Windows\System32\Drivers\usbaapl.sys 83CAFCB53201BBAC04D822F32438E244
C:\Windows\System32\DRIVERS\usbccgp.sys AAB0B5F72D2D726FBFDC895A2902DE1D
C:\Windows\system32\drivers\usbcir.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\usbehci.sys 153E8515CB86F8BB5D1A8B478EBF4BB2
C:\Windows\System32\DRIVERS\usbhub.sys 2AE6BCEBD85D31317E433733DAF25888
C:\Windows\system32\drivers\usbohci.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\usbprint.sys E75C4B5269091D15A2E7DC0B6D35F2F5
C:\Windows\System32\DRIVERS\usbscan.sys 1D714B8497CD68307806D5D3F60A5169
C:\Windows\System32\DRIVERS\USBSTOR.SYS BE3DA31C191BC222D9AD503C5224F2AD
C:\Windows\System32\DRIVERS\usbuhci.sys 44056325428A8E4C755830426E29878F
C:\Windows\System32\Drivers\usbvideo.sys 73FF24E21B690625A58109637DDA0DF7
C:\Windows\System32\DRIVERS\vgapnp.sys 87B06E1F30B749A114F74622D013F8D4
C:\Windows\System32\drivers\vga.sys 2E93AC0A1D8C79D019DB6C51F036636C
C:\Windows\system32\drivers\viaagp.sys 5D7159DEF58A800D5781BA3A879627BC
C:\Windows\system32\drivers\viac7.sys C4F3A691B5BAD343E6249BD8C2D45DEE
C:\Windows\system32\drivers\viaide.sys AADF5587A4063F52C2C3FED7887426FC
C:\Windows\System32\drivers\volmgr.sys 69503668AC66C77C6CD7AF86FBDF8C43
C:\Windows\System32\drivers\volmgrx.sys 23E41B834759917BFD6B9A0D625D0C28
C:\Windows\System32\drivers\volsnap.sys 786DB5771F05EF300390399F626BF30A
C:\Windows\system32\drivers\vsmraid.sys 587253E09325E6BF226B299774B728A9
C:\Windows\system32\drivers\wacompen.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wanarp.sys 55201897378CCA7AF8B5EFD874374A26
C:\Windows\System32\DRIVERS\wanarp.sys 55201897378CCA7AF8B5EFD874374A26
C:\Windows\system32\drivers\wd.sys 78FE9542363F297B18C027B2D7E7C07F
C:\Windows\System32\drivers\Wdf01000.sys 25944D2CC49E0A6C581D02A74B7D6645
C:\Windows\System32\DRIVERS\wmiacpi.sys 2E7255D172DF0B8283CDFB7B433B864E
C:\Windows\System32\DRIVERS\wpdusb.sys DE9D36F91A4DF3D911626643DEBF11EA
C:\Windows\system32\drivers\ws2ifsl.sys E3A3CB253C0EC2494D4A61F5E43A389C
C:\Windows\System32\drivers\WudfPf.sys 06E6F32C8D0A3F66D956F57B43A2E070
C:\Windows\System32\DRIVERS\WUDFRd.sys 867C301E8B790040AE9CF6486E8041DF

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-12-02 18:41 - 2013-12-02 18:41 - 00000000 ____D C:\FRST
2013-11-26 21:45 - 2013-11-26 21:45 - 00000000 ____D C:\ProgramData\SMR410
2013-11-26 21:44 - 2013-11-27 09:11 - 00000000 ____D C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\NPE
2013-11-20 08:23 - 2013-11-30 04:02 - 95025368 ____T C:\ProgramData\oiwlrode.bxx
2013-11-20 08:23 - 2013-11-30 04:01 - 00000000 _____ C:\ProgramData\oiwlrode.fvv
2013-11-20 08:23 - 2013-11-20 08:23 - 00221184 _____ (Корпорация Майкрософт) C:\ProgramData\edorlwio.dss
2013-11-03 06:54 - 2013-11-03 06:57 - 00000000 ____D C:\Program Files\Common Files\Symantec Shared
2013-11-03 06:54 - 2013-11-03 06:54 - 00142936 _____ (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT.SYS
2013-11-03 06:54 - 2013-11-03 06:54 - 00008194 _____ C:\Windows\System32\Drivers\SYMEVENT.CAT
2013-11-03 06:51 - 2013-11-03 06:55 - 00000000 ____D C:\Windows\System32\Drivers\N360
2013-11-03 06:51 - 2013-11-03 06:51 - 00000000 ____D C:\Program Files\Norton 360
2013-11-03 05:13 - 2013-11-03 05:13 - 104760586 _____ C:\Windows\System32\∼쁃Ḭ–

==================== One Month Modified Files and Folders =======

2013-12-02 18:41 - 2013-12-02 18:41 - 00000000 ____D C:\FRST
2013-12-01 10:38 - 2006-11-02 04:47 - 00003216 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-12-01 10:38 - 2006-11-02 04:47 - 00003216 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-30 04:02 - 2013-11-20 08:23 - 95025368 ____T C:\ProgramData\oiwlrode.bxx
2013-11-30 04:01 - 2013-11-20 08:23 - 00000000 _____ C:\ProgramData\oiwlrode.fvv
2013-11-29 12:27 - 2012-02-19 11:38 - 00000000 ____D C:\Users\Marco Bruhn.MarcoBruhn-PC\Tracing
2013-11-27 09:39 - 2012-09-20 09:22 - 00000000 ____D C:\Users\Marco Bruhn.MarcoBruhn-PC\Desktop\Sounds
2013-11-27 09:11 - 2013-11-26 21:44 - 00000000 ____D C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\NPE
2013-11-27 09:02 - 2011-05-16 09:06 - 00000000 ____D C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\CrashDumps
2013-11-27 08:59 - 2011-10-14 05:20 - 00006836 _____ C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\d3d9caps.dat
2013-11-26 21:50 - 2012-01-21 12:46 - 00815848 _____ C:\Windows\PFRO.log
2013-11-26 21:45 - 2013-11-26 21:45 - 00000000 ____D C:\ProgramData\SMR410
2013-11-26 21:45 - 2011-05-07 06:35 - 00000000 ____D C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\vlc
2013-11-26 21:44 - 2011-05-06 13:15 - 00000000 ____D C:\ProgramData\Norton
2013-11-26 17:58 - 2006-11-02 03:18 - 00000000 ____D C:\Windows\tracing
2013-11-20 08:23 - 2013-11-20 08:23 - 00221184 _____ (Корпорация Майкрософт) C:\ProgramData\edorlwio.dss
2013-11-19 05:58 - 2011-05-06 08:33 - 00168448 _____ C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-11-18 14:19 - 2013-08-14 07:57 - 00000000 ____D C:\Users\Marco Bruhn.MarcoBruhn-PC\Desktop\Schreberjugend!
2013-11-14 05:47 - 2012-02-06 10:15 - 00073193 _____ C:\Windows\setupact.log
2013-11-11 03:29 - 2011-05-07 04:21 - 00000000 ___HD C:\Users\Marco Bruhn.MarcoBruhn-PC\Desktop\.picasaoriginals
2013-11-06 09:33 - 2013-02-07 11:25 - 00000448 _____ C:\Users\Marco Bruhn.MarcoBruhn-PC\Desktop\Neues Textdokument.txt
2013-11-05 10:01 - 2011-05-06 08:25 - 00000000 ____D C:\Program Files\AmIcoSingLun
2013-11-04 09:02 - 2011-08-08 08:49 - 00000000 ___RD C:\Users\Marco Bruhn.MarcoBruhn-PC\Desktop\Alles
2013-11-03 06:57 - 2013-11-03 06:54 - 00000000 ____D C:\Program Files\Common Files\Symantec Shared
2013-11-03 06:55 - 2013-11-03 06:51 - 00000000 ____D C:\Windows\System32\Drivers\N360
2013-11-03 06:54 - 2013-11-03 06:54 - 00142936 _____ (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT.SYS
2013-11-03 06:54 - 2013-11-03 06:54 - 00008194 _____ C:\Windows\System32\Drivers\SYMEVENT.CAT
2013-11-03 06:51 - 2013-11-03 06:51 - 00000000 ____D C:\Program Files\Norton 360
2013-11-03 05:41 - 2013-11-01 09:29 - 00000004 _____ C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.ini
2013-11-03 05:13 - 2013-11-03 05:13 - 104760586 _____ C:\Windows\System32\∼쁃Ḭ–
ZeroAccess:
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Google\Desktop\Install
ZeroAccess:
C:\Program Files\Google\Desktop\Install

Files to move or delete:
====================
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.ini
C:\ProgramData\7w823wl.ctrl
C:\ProgramData\7w823wl.pff
C:\ProgramData\edorlwio.dss
C:\ProgramData\flc1flfod.ctrl
C:\ProgramData\flc1flfod.pff
C:\ProgramData\oiwlrode.bxx
C:\ProgramData\oiwlrode.fvv
C:\Users\Marco Bruhn.MarcoBruhn-PC\CoD4MWDemoSetup.exe
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.dat


Some content of TEMP:
====================
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Temp\RtkBtMnt.exe


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
ATTENTION: ====> ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

13
Restore point made on: 2013-11-05 12:50:08
Restore point made on: 2013-11-06 06:04:49
Restore point made on: 2013-11-08 06:00:59
Restore point made on: 2013-11-09 12:03:55
Restore point made on: 2013-11-10 05:51:27
Restore point made on: 2013-11-12 08:38:46
Restore point made on: 2013-11-13 16:18:29
Restore point made on: 2013-11-14 15:25:10
Restore point made on: 2013-11-17 11:18:23
Restore point made on: 2013-11-18 07:18:50
Restore point made on: 2013-11-19 04:22:07
Restore point made on: 2013-11-20 12:34:15
Restore point made on: 2013-11-26 13:16:04

==================== BCD ================================

Windows Boot Manager
--------------------
identifier              {bootmgr}
device                  partition=C:
description             Windows Boot Manager
locale                  de-DE
inherit                 {globalsettings}
default                 {default}
resumeobject            {a9d4d023-d441-11dc-8a35-e9a1536067d6}
displayorder            {default}
toolsdisplayorder       {memdiag}
timeout                 30
resume                  No

Windows Boot Loader
-------------------
identifier              {current}
device                  ramdisk=[E:]\x86\winre.wim,{ad6c7bc8-fa0f-11da-8ddf-0013200354d8}
path                    \windows\system32\boot\winload.exe
description             Windows Recovery Environment
osdevice                ramdisk=[E:]\x86\winre.wim,{ad6c7bc8-fa0f-11da-8ddf-0013200354d8}
systemroot              \windows
nx                      OptIn
detecthal               Yes
winpe                   Yes

Windows Boot Loader
-------------------
identifier              {default}
device                  partition=C:
path                    \Windows\system32\winload.exe
description             Microsoft Windows Vista
locale                  de-DE
inherit                 {bootloadersettings}
recoverysequence        {current}
recoveryenabled         Yes
osdevice                partition=C:
systemroot              \Windows
resumeobject            {a9d4d023-d441-11dc-8a35-e9a1536067d6}
nx                      OptIn

Resume from Hibernate
---------------------
identifier              {a9d4d023-d441-11dc-8a35-e9a1536067d6}
device                  partition=C:
path                    \Windows\system32\winresume.exe
description             Windows Resume Application
locale                  de-DE
inherit                 {resumeloadersettings}
filedevice              partition=C:
filepath                \hiberfil.sys
pae                     Yes
debugoptionenabled      No

Windows Memory Tester
---------------------
identifier              {memdiag}
device                  partition=C:
path                    \boot\memtest.exe
description             Windows-Speicherdiagnose
locale                  de-DE
inherit                 {globalsettings}
badmemoryaccess         Yes

Windows Legacy OS Loader
------------------------
identifier              {ntldr}
device                  unknown
path                    \ntldr
description             Frhere Windows-Version

EMS Settings
------------
identifier              {emssettings}
bootems                 Yes

Debugger Settings
-----------------
identifier              {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

RAM Defects
-----------
identifier              {badmemory}

Global Settings
---------------
identifier              {globalsettings}
inherit                 {dbgsettings}
                        {emssettings}
                        {badmemory}

Boot Loader Settings
--------------------
identifier              {bootloadersettings}
inherit                 {globalsettings}

Resume Loader Settings
----------------------
identifier              {resumeloadersettings}
inherit                 {globalsettings}

Device options
--------------
identifier              {ad6c7bc8-fa0f-11da-8ddf-0013200354d8}
description             Ramdisk Device Options
ramdisksdidevice        partition=E:
ramdisksdipath          \X86\boot.sdi


==================== Memory info =========================== 

Percentage of memory in use: 14%
Total physical RAM: 4089.89 MB
Available physical RAM: 3485.82 MB
Total Pagefile: 3712.24 MB
Available Pagefile: 3550.77 MB
Total Virtual: 2047.88 MB
Available Virtual: 1965.82 MB

==================== Drives ================================

Drive c: (ACER) (Fixed) (Total:288.32 GB) (Free:52.49 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: (PQSERVICE) (Fixed) (Total:9.76 GB) (Free:1.69 GB) FAT32
Drive f: (USB DISK) (Removable) (Total:3.73 GB) (Free:3.72 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 298 GB) (Disk ID: ACAC2355)
Partition 1: (Not Active) - (Size=10 GB) - (Type=27)
Partition 2: (Active) - (Size=288 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 65D6D87F)
Partition 1: (Not Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-11-29 12:32

==================== End Of Log ============================
         

Alt 03.12.2013, 17:42   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Interpol Virus Bildschirmsperre - Standard

Interpol Virus Bildschirmsperre



hi,

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
Startup: C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oiwlrode.lnk
ShortcutTarget: oiwlrode.lnk -> C:\ProgramData\edorlwio.dss (Корпорация Майкрософт)
HKU\Marco Bruhn.MarcoBruhn-PC\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
ZeroAccess:
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Google\Desktop\Install
ZeroAccess:
C:\Program Files\Google\Desktop\Install
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.ini
C:\ProgramData\7w823wl.ctrl
C:\ProgramData\7w823wl.pff
C:\ProgramData\edorlwio.dss
C:\ProgramData\flc1flfod.ctrl
C:\ProgramData\flc1flfod.pff
C:\ProgramData\oiwlrode.bxx
C:\ProgramData\oiwlrode.fvv
C:\Users\Marco Bruhn.MarcoBruhn-PC\CoD4MWDemoSetup.exe
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.dat
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


Rechner normal starten. Wenn er das tut geht es weiter, da ist noch mehr.
__________________

__________________

Alt 15.12.2013, 14:40   #3
Shorty1234
 
Interpol Virus Bildschirmsperre - Standard

Interpol Virus Bildschirmsperre



Sooo hier poste ich dir mal die Fixlog.txt:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 01-12-2013
Ran by SYSTEM at 2013-12-15 15:34:31 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

Content of fixlist:
*****************
Startup: C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oiwlrode.lnk
ShortcutTarget: oiwlrode.lnk -> C:\ProgramData\edorlwio.dss (?????????? ??????????)
HKU\Marco Bruhn.MarcoBruhn-PC\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
ZeroAccess:
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Google\Desktop\Install
ZeroAccess:
C:\Program Files\Google\Desktop\Install
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.ini
C:\ProgramData\7w823wl.ctrl
C:\ProgramData\7w823wl.pff
C:\ProgramData\edorlwio.dss
C:\ProgramData\flc1flfod.ctrl
C:\ProgramData\flc1flfod.pff
C:\ProgramData\oiwlrode.bxx
C:\ProgramData\oiwlrode.fvv
C:\Users\Marco Bruhn.MarcoBruhn-PC\CoD4MWDemoSetup.exe
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.dat
*****************

C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oiwlrode.lnk => Moved successfully.
C:\ProgramData\edorlwio.dss => Moved successfully.
HKU\Marco Bruhn.MarcoBruhn-PC\Software\Microsoft\Windows\CurrentVersion\Run\\Google Update* => Value deleted successfully.
"C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Google\Desktop\Install" => Could not move.
"C:\Program Files\Google\Desktop\Install" => Could not move.
C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.ini => Moved successfully.
C:\ProgramData\7w823wl.ctrl => Moved successfully.
C:\ProgramData\7w823wl.pff => Moved successfully.
"C:\ProgramData\edorlwio.dss" => File/Directory not found.
C:\ProgramData\flc1flfod.ctrl => Moved successfully.
C:\ProgramData\flc1flfod.pff => Moved successfully.
C:\ProgramData\oiwlrode.bxx => Moved successfully.
C:\ProgramData\oiwlrode.fvv => Moved successfully.
C:\Users\Marco Bruhn.MarcoBruhn-PC\CoD4MWDemoSetup.exe => Moved successfully.
"C:\Users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\cache.dat" => File/Directory not found.

==== End of Fixlog ====
         
Ich bedanke mich schon mal und warte auf den nächsten Schritt
__________________

Alt 16.12.2013, 08:35   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Interpol Virus Bildschirmsperre - Standard

Interpol Virus Bildschirmsperre



Startet er denn normal? Wenn ja ab jetzt alles im normalen Modus:

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 18.12.2013, 19:22   #5
Shorty1234
 
Interpol Virus Bildschirmsperre - Standard

Interpol Virus Bildschirmsperre



Gesagt getan Hier das Ergebnis

Code:
ATTFilter
ComboFix 13-12-17.02 - Marco Bruhn 18.12.2013  19:16:45.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3066.1647 [GMT 1:00]
ausgeführt von:: c:\users\Marco Bruhn.MarcoBruhn-PC\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AV: Norton 360 *Enabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton 360 *Enabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Norton 360 *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Funmoods
c:\program files\Funmoods\1.5.23.22\bh\escort.dll
c:\program files\Funmoods\1.5.23.22\escortApp.dll
c:\program files\Funmoods\1.5.23.22\escortEng.dll
c:\program files\Funmoods\1.5.23.22\escortShld.dll
c:\program files\Funmoods\1.5.23.22\FavIcon.ico
c:\program files\Funmoods\1.5.23.22\funmoodssrv.exe
c:\program files\Funmoods\1.5.23.22\Sqlite3.dll
c:\program files\Funmoods\1.5.23.22\uninst.dat
c:\program files\Funmoods\1.5.23.22\uninstall.exe
c:\program files\Google\Desktop\Install
c:\program files\Google\Desktop\Install\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\0103~1\7154~1\CFFE~1\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\@
c:\program files\Google\Desktop\Install\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\0103~1\7154~1\CFFE~1\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\L\00000004.@
c:\program files\Google\Desktop\Install\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\0103~1\7154~1\CFFE~1\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\L\76603ac3
c:\program files\Google\Desktop\Install\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\0103~1\7154~1\CFFE~1\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\U\00000008.@
c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Google\Desktop\Install
c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Google\Desktop\Install\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\???\???\???\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\@
c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\Google\Desktop\Install\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\C3C1~1\01C8~1\CFFE~1\{538a249f-fdb9-e1e2-78de-e43daebe12a3}\@
c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Beic
c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Beic\tiges.zeu
c:\users\Marco Bruhn\AppData\Roaming\.#
c:\users\Marco Bruhn\AppData\Roaming\Desktopicon
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-11-18 bis 2013-12-18  ))))))))))))))))))))))))))))))
.
.
2013-12-03 02:41 . 2013-12-03 02:41	--------	d-----w-	C:\FRST
2013-11-27 05:45 . 2013-11-27 05:45	--------	d-----w-	c:\programdata\SMR410
2013-11-27 05:44 . 2013-11-27 17:11	--------	d-----w-	c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Local\NPE
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-12-15 15:15 . 2012-10-11 18:40	692616	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-12-15 15:15 . 2011-05-16 05:00	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-11-03 14:54 . 2013-11-03 14:54	142936	----a-w-	c:\windows\system32\drivers\SYMEVENT.SYS
2013-09-27 03:18 . 2013-11-03 14:54	935512	----a-w-	c:\windows\system32\drivers\N360\1501000.012\symefa.sys
2013-09-27 02:26 . 2013-11-03 14:54	651352	----a-w-	c:\windows\system32\drivers\N360\1501000.012\srtsp.sys
2013-09-26 03:28 . 2013-11-03 14:54	446552	----a-w-	c:\windows\system32\drivers\N360\1501000.012\symnets.sys
2013-09-26 03:27 . 2013-11-03 14:54	383576	----a-w-	c:\windows\system32\drivers\N360\1501000.012\symtdiv.sys
2013-09-26 02:50 . 2013-11-03 14:54	127064	----a-w-	c:\windows\system32\drivers\N360\1501000.012\ccsetx86.sys
2013-09-22 10:22 . 2013-10-10 01:16	1800704	----a-w-	c:\windows\system32\jscript9.dll
2013-09-22 10:14 . 2013-10-10 01:16	1427968	----a-w-	c:\windows\system32\inetcpl.cpl
2013-09-22 10:13 . 2013-10-10 01:16	1129472	----a-w-	c:\windows\system32\wininet.dll
2013-09-22 10:08 . 2013-10-10 01:16	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2013-09-22 10:06 . 2013-10-10 01:16	420864	----a-w-	c:\windows\system32\vbscript.dll
2013-09-22 10:03 . 2013-10-10 01:16	2382848	----a-w-	c:\windows\system32\mshtml.tlb
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-10-27 10:05	40496	----a-w-	c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-12-18 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2009-01-20 156968]
"CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2009-01-20 202024]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-01-27 61440]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2011-05-06 30192]
"AmIcoSinglun"="c:\program files\AmIcoSingLun\AmIcoSinglun.exe" [2008-10-24 237568]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-03-11 6957600]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-03-11 1833504]
"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-12-05 1410344]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-02-24 870920]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-04-11 249600]
"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe" [2009-04-15 440864]
"EgisTecLiveUpdate"="c:\program files\EgisTec Egis Software Update\EgisUpdate.exe" [2008-10-27 199464]
"mwlDaemon"="c:\program files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2008-10-27 346672]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2008-12-26 173288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-14 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-01-07 253672]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2012-01-19 114992]
.
c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-12-06 17:07	1210320	----a-w-	c:\program files\Google\Chrome\Application\31.0.1650.63\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-12-18 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-11 15:15]
.
2013-12-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-07 10:42]
.
2013-12-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-07 10:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0511&m=aspire_7735
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=DE&userid=d1c5352c-4354-4bbc-83d0-7d75b9575a13&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube to MP3 Converter - c:\users\Marco Bruhn.MarcoBruhn-PC\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
SafeBoot-mcmscsvc
SafeBoot-MCODS
AddRemove-Free Audio CD Burner_is1 - c:\program files\DVDVideoSoft\Free Audio CD Burner\unins000.exe
AddRemove-funmoods - c:\program files\Funmoods\1.5.23.22\uninstall.exe
AddRemove-Uninstall_is1 - c:\program files\Common Files\DVDVideoSoft\unins000.exe
AddRemove-{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} - c:\programdata\BitGuard\2.7.1769.27\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-12-18 19:55
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\users\MARCOB~1.MAR\AppData\Local\Temp\catchme.dll 53248 bytes executable
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\N360]
"ImagePath"="\"c:\program files\Norton 360\Engine\21.1.0.18\N360.exe\" /s \"N360\" /m \"c:\program files\Norton 360\Engine\21.1.0.18\diMaster.dll\" /prefetch:1"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BFE]
"ImagePath"="."
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MpsSvc]
"ImagePath"="."
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
"ImagePath"="\SystemRoot\system32\drivers\N360\1501000.012\SYMTDIV.SYS"
"TrustedImagePaths"="c:\program files\Norton 360\Engine\21.1.0.18"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2413726747-2625464399-4239916932-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*¤"]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-2413726747-2625464399-4239916932-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*¤"\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(1936)
c:\program files\EgisTec\MyWinLocker 3\x86\psdprotect.dll
c:\program files\EgisTec\MyWinLocker 3\x86\sysenv.dll
c:\program files\EgisTec\MyWinLocker 3\x86\mwlUI.dll
c:\program files\EgisTec\MyWinLocker 3\x86\GDIExtendCtrl.dll
c:\program files\EgisTec\MyWinLocker 3\x86\mwlOP.dll
c:\program files\EgisTec\MyWinLocker 3\x86\CryptoAPI.dll
c:\program files\EgisTec\MyWinLocker 3\x86\ShowErrMsg.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
c:\program files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
c:\program files\EgisTec\MyWinLocker 3\x86\MWLService.exe
c:\program files\Norton 360\Engine\21.1.0.18\N360.exe
c:\program files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Norton 360\Engine\21.1.0.18\N360.exe
c:\windows\system32\DllHost.exe
c:\windows\system32\conime.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-12-18  19:58:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-12-18 18:58
.
Vor Suchlauf: 15 Verzeichnis(se), 166.937.145.344 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 167.379.054.592 Bytes frei
.
- - End Of File - - 2F75FB4B9E7C71DB6EC1AE88B89DB904
BEEDF9B7F43A72A91456F7131AFC11B2
         
Achso und ja, der PC startet jetzt ganz normal und aufgetaucht ist die Bildschirmsperre auch nicht wieder ... bis jetzt


Alt 19.12.2013, 12:07   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Interpol Virus Bildschirmsperre - Standard

Interpol Virus Bildschirmsperre



Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST log bitte.
__________________
--> Interpol Virus Bildschirmsperre

Antwort

Themen zu Interpol Virus Bildschirmsperre
adobe, association, bootmgr, desktop, dll, explorer, explorer.exe, google, hdaudio.sys, home, i8042prt.sys, messenger, microsoft, popup, realtek, registry, rootkit, rundll, scan, services.exe, software, svchost.exe, symantec, system, temp, usbvideo.sys, virus, vista, winlogon.exe



Ähnliche Themen: Interpol Virus Bildschirmsperre


  1. Interpol Virus
    Plagegeister aller Art und deren Bekämpfung - 25.01.2015 (3)
  2. Interpol Virus
    Log-Analyse und Auswertung - 17.12.2014 (9)
  3. Interpol Virus
    Log-Analyse und Auswertung - 02.11.2014 (51)
  4. Interpol hat zugeschlagen! Interpol Troyaner/Virus legt Rechner Lahm!
    Log-Analyse und Auswertung - 30.03.2014 (7)
  5. Interpol Virus
    Plagegeister aller Art und deren Bekämpfung - 21.02.2014 (18)
  6. Interpol Virus
    Plagegeister aller Art und deren Bekämpfung - 08.02.2014 (3)
  7. Windows 7 64-bit: Kurzzeitige Bildschirmsperre, beschädigter abgesicherter Modus.
    Log-Analyse und Auswertung - 22.12.2013 (13)
  8. Virus mit Bildschirmsperre, abegsichter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 07.12.2013 (30)
  9. Interpol Virus
    Plagegeister aller Art und deren Bekämpfung - 08.11.2013 (5)
  10. Interpol Virus
    Log-Analyse und Auswertung - 22.10.2013 (3)
  11. Windows 7: Interpol Meldung, Bildschirmsperre
    Plagegeister aller Art und deren Bekämpfung - 18.10.2013 (15)
  12. Interpol-Virus
    Log-Analyse und Auswertung - 10.10.2013 (9)
  13. Windows 7: Interpol Trojaner mit Bildschirmsperre
    Log-Analyse und Auswertung - 04.10.2013 (3)
  14. 100€, GVU, Bildschirmsperre
    Plagegeister aller Art und deren Bekämpfung - 17.02.2013 (4)
  15. wgsdgsdgdsgsd.exe mit Bildschirmsperre
    Log-Analyse und Auswertung - 30.01.2013 (13)
  16. Bildschirmsperre: Bundespolizei trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (4)
  17. Bildschirmsperre Virus entfernen
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (9)

Zum Thema Interpol Virus Bildschirmsperre - Guten Abend, ich habe seit einigen Wochen einen Virus/Trojaner auf meinem Laptop. --> Interpol mit Bildschirmsperre etc., Aufforderung zum Bezahlen eines Bußgeldes wegen Verstoß gegen alles mögliche. Ich habe mich - Interpol Virus Bildschirmsperre...
Archiv
Du betrachtest: Interpol Virus Bildschirmsperre auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.