Windows 7: Trojaner nach gefälschter Bank-Mail

_Lurch · 20.08.2014, 16:48

Hallo liebe Helfer,

vor einigen Tagen bekam ich eine gefäschte Zip-Mail von Paypal. Ich befürchte, dass dies die Ursache für meine Probleme ist. Bin aber natürlich nicht sicher.

Als ich die Mail im Spamihilator öffnen wollte, meldete sich mein Avira Antivirus. Ich habe die Mail gelöscht und einen Scan mit Avira durchgeführt. Leider ließ sich der PC am nächsten Tag aber nicht mehr hochfahren. Da habe ich eine Avira-Rescue-CD benutzt und danach mit weiteren Tools(Stinger, Regalyz, TrojanRemover, Spybot&Destroy..) geprüft. Es schien dann alles ok zu sein. Leider ist dem nicht so und die Sache hat sich dramatisch verschlechtert.

Bekam ich am Anfang nur 1 oder 2 Virus-Meldungen von Antivir, so sind es jetzt 10 - 17 verschiedene Viren.

Ich habe den PC vom Internet getrennt und die gewünschten Scans(s. unten) durchgeführt.

Da ich den PC nur sehr ungern neu aufsetzen würde, bitte ich hier um Hilfe zur Selbsthilfe.

Folgende Ergebnisse sind angefügt:
Avira vom 15.8. und vom 19.8. und FRST als zip, und der Gmer-Scan.
Der zweite Avira-Scan wurde abgebrochen, weil er zu lange dauerte.

Was kann ich jetzt tun?
VG

Code:

ATTFilter

GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-08-20 13:02:31
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\00000054 Hitachi_ rev.JC4O 931,51GB
Running: rp7oqcxi.exe; Driver: C:\Users\MASTER~1\AppData\Local\Temp\kgliaaow.sys


---- User code sections - GMER 2.1 ----

.text   C:\Windows\syswow64\svchost.exe[2032] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                      0000000076ce1465 2 bytes [CE, 76]
.text   C:\Windows\syswow64\svchost.exe[2032] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                     0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Windows\syswow64\svchost.exe[1928] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                      0000000076ce1465 2 bytes [CE, 76]
.text   C:\Windows\syswow64\svchost.exe[1928] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                     0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Windows\syswow64\svchost.exe[2216] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                      0000000076ce1465 2 bytes [CE, 76]
.text   C:\Windows\syswow64\svchost.exe[2216] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                     0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[2472] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                      0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[2472] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                     0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Secunia\PSI\PSIA.exe[2552] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                          0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Secunia\PSI\PSIA.exe[2552] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                         0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe[2768] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                       0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe[2768] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                      0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[1368] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                      0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[1368] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                     0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2416] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69                                       0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2416] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155                                      0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe[4028] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                           0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe[4028] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                          0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Secunia\PSI\psi_tray.exe[3248] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                      0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Secunia\PSI\psi_tray.exe[3248] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                     0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe[2648] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe[2648] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3528] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe[3528] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                               0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\PDF24\pdf24.exe[4104] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                               0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\PDF24\pdf24.exe[4104] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                              0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe[4112] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe[4112] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                               0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\rusb3mon.exe[4120] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\rusb3mon.exe[4120] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[4136] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                     0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[4136] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                    0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe[4144] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69                                           0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe[4144] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155                                          0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[4228] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69                                        0000000076ce1465 2 bytes [CE, 76]
.text   C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[4228] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155                                       0000000076ce14bb 2 bytes [CE, 76]
.text   ...                                                                                                                                                                * 2

---- Threads - GMER 2.1 ----

Thread  C:\Windows\Explorer.EXE [1984:3892]                                                                                                                                0000000006620000
Thread  C:\Windows\Explorer.EXE [1984:2372]                                                                                                                                0000000003a60000

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk0\DR0                                                                                                                                              unknown MBR code

---- EOF - GMER 2.1 ----

M-K-D-B · 20.08.2014, 17:03

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!

Zitat:

Running from C:\Users\MasterMedion7\Downloads

Leider hast du unsere Anleitung nicht richtig befolgt:
Bitte alle Tools direkt auf den Desktop downloaden bzw. dorthin verschieben und vom Desktop starten, da unsere Anleitungen daraufhin ausgelegt sind.
Zudem lassen sich dann am Ende der Bereinigung alle verwendeten Tools sehr einfach entfernen.

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

_Lurch · 20.08.2014, 21:18

Hallo Matthias,

toll dass Du mir helfen willst.
...

Ich habe Combofix runtergeladen, den PC wieder vom Internet getrennt und Avira gestopped.

Beim Start von Combofix erhalte ich die Meldung, das Spybot&Destroy noch aktiv ist. Ich habe die Deaktivierung- z.B. im Win-Sicherheitscenter - versucht. Leider scheint diese SW nur durch Deinstallation deaktivierbar zu sein. Wenn ich das tue, dann werde ich wohl auch alle Quarantäne-Einträge etc. verlieren. Soll ich das trotzdem tun oder trotz Warnhinweis Combofix mit aktivem Spybot&Destroy starten?

Was soll ich tun?

M-K-D-B · 20.08.2014, 22:55

Servus,

den Echtzeitschutz von Spybot kann man mit Sicherheit deaktivieren, hab das Programm nur leider selbst nicht getestet.

ComboFix trotz des Hinweises bezüglich Spybot starten, wenn du das mit dem Deaktivieren nicht hinbekommst... sollte kein Problem sein, wenn Spybot noch aktiv ist.

_Lurch · 21.08.2014, 09:24

Hallo Matthias,
vielen Dank für Deine zeitnahen Antworten.

Den Combofix-Scan habe ich durchgeführt. Siehe Ergebnis-Log.
Wie geht es weiter?

Code:

ATTFilter

Combofix Logfile:

	Code: 

 ATTFilter

  
	ComboFix 14-08-19.01 - MasterMedion7 21.08.2014   9:16.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4095.1423 [GMT 2:00]
ausgeführt von:: c:\users\MasterMedion7\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
SP: Avira Desktop *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}
SP: Spybot - Search and Destroy *Enabled/Outdated* {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\7z.exe
c:\users\MASTER~1\AppData\Local\Temp\avgnt.exe\Avira.OE.ExtApi.dll
c:\users\MasterMedion7\AppData\Local\Temp\avgnt.exe\Avira.OE.ExtApi.dll
F:\install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2014-07-21 bis 2014-08-21  ))))))))))))))))))))))))))))))
.
.
2014-08-19 17:30 . 2014-08-19 17:35	--------	d-----w-	C:\FRST
2014-08-18 16:03 . 2014-08-18 16:03	--------	d-----w-	c:\programdata\Licenses
2014-08-18 16:02 . 2014-08-18 16:02	--------	d-----w-	c:\users\MasterMedion7\AppData\Roaming\Simply Super Software
2014-08-18 16:01 . 2014-08-18 16:02	--------	d-----w-	c:\program files (x86)\Trojan Remover
2014-08-18 16:01 . 2014-08-18 16:01	--------	d-----w-	c:\programdata\Simply Super Software
2014-08-14 15:44 . 2014-08-18 13:22	--------	d-----w-	c:\program files\stinger
2014-08-14 15:36 . 2014-08-14 15:36	--------	d-----w-	c:\programdata\McAfee
2014-08-14 07:28 . 2014-03-09 21:48	171160	----a-w-	c:\windows\system32\infocardapi.dll
2014-08-14 07:28 . 2014-03-09 21:48	1389208	----a-w-	c:\windows\system32\icardagt.exe
2014-08-14 07:28 . 2014-03-09 21:47	99480	----a-w-	c:\windows\SysWow64\infocardapi.dll
2014-08-14 07:28 . 2014-03-09 21:47	619672	----a-w-	c:\windows\SysWow64\icardagt.exe
2014-08-14 07:28 . 2014-06-30 22:24	8856	----a-w-	c:\windows\system32\icardres.dll
2014-08-14 07:28 . 2014-06-30 22:14	8856	----a-w-	c:\windows\SysWow64\icardres.dll
2014-08-14 07:28 . 2014-06-06 06:16	35480	----a-w-	c:\windows\SysWow64\TsWpfWrp.exe
2014-08-14 07:28 . 2014-06-06 06:12	35480	----a-w-	c:\windows\system32\TsWpfWrp.exe
2014-08-14 07:23 . 2014-07-09 02:03	7168	----a-w-	c:\windows\system32\KBDYAK.DLL
2014-08-11 12:01 . 2013-09-20 08:49	21040	----a-w-	c:\windows\system32\sdnclean64.exe
2014-08-11 12:01 . 2014-08-11 13:18	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2014-08-11 12:00 . 2014-08-11 12:02	--------	d-----w-	c:\program files (x86)\Spybot - Search & Destroy 2
2014-08-10 10:34 . 2014-08-10 10:34	--------	d-----w-	c:\programdata\IObit
2014-08-08 12:14 . 2014-08-20 07:56	--------	d-----w-	c:\programdata\ouhrhe
2014-08-08 12:13 . 2014-08-10 08:34	--------	d--h--w-	c:\users\MasterMedion7\AppData\Local\Dcil
2014-08-08 12:13 . 2014-08-08 12:13	--------	d--h--w-	c:\users\MasterMedion7\AppData\Roaming\Sxptvs
2014-08-06 07:34 . 2014-08-06 07:34	--------	d-----w-	c:\programdata\Package Cache
2014-08-01 06:30 . 2014-05-14 16:23	44512	----a-w-	c:\windows\system32\wups2.dll
2014-08-01 06:30 . 2014-05-14 16:23	58336	----a-w-	c:\windows\system32\wuauclt.exe
2014-08-01 06:30 . 2014-05-14 16:23	2477536	----a-w-	c:\windows\system32\wuaueng.dll
2014-08-01 06:30 . 2014-05-14 16:21	2620928	----a-w-	c:\windows\system32\wucltux.dll
2014-08-01 06:30 . 2014-05-14 16:23	38880	----a-w-	c:\windows\system32\wups.dll
2014-08-01 06:30 . 2014-05-14 16:23	36320	----a-w-	c:\windows\SysWow64\wups.dll
2014-08-01 06:30 . 2014-05-14 16:23	700384	----a-w-	c:\windows\system32\wuapi.dll
2014-08-01 06:30 . 2014-05-14 16:23	581600	----a-w-	c:\windows\SysWow64\wuapi.dll
2014-08-01 06:30 . 2014-05-14 16:20	97792	----a-w-	c:\windows\system32\wudriver.dll
2014-08-01 06:30 . 2014-05-14 16:17	92672	----a-w-	c:\windows\SysWow64\wudriver.dll
2014-08-01 06:29 . 2014-05-14 07:23	179656	----a-w-	c:\windows\SysWow64\wuwebv.dll
2014-08-01 06:29 . 2014-05-14 07:17	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2014-08-01 06:29 . 2014-05-14 07:23	198600	----a-w-	c:\windows\system32\wuwebv.dll
2014-08-01 06:29 . 2014-05-14 07:20	36864	----a-w-	c:\windows\system32\wuapp.exe
2014-07-29 15:20 . 2014-07-29 15:20	--------	d-----w-	c:\program files (x86)\ClockworkMod
2014-07-24 19:53 . 2014-07-24 19:54	--------	d-----w-	c:\program files (x86)\Mozilla Thunderbird
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-08-14 15:36 . 2013-07-23 17:09	71344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2014-08-14 15:36 . 2013-07-23 17:09	699568	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2014-08-14 07:34 . 2011-03-14 14:08	99218768	----a-w-	c:\windows\system32\MRT.exe
2014-07-17 11:30 . 2014-07-17 11:30	42040	----a-w-	c:\windows\system32\drivers\avnetflt.sys
2014-07-11 01:02 . 2014-07-21 07:53	98216	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2014-07-06 20:23 . 2014-04-22 07:03	29208	----a-w-	c:\windows\system32\drivers\aswHwid.sys
2014-07-02 11:06 . 2014-07-12 11:35	28600	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2014-07-02 11:06 . 2014-07-12 11:35	130584	----a-w-	c:\windows\system32\drivers\avipbb.sys
2014-07-02 11:06 . 2014-07-12 11:35	117712	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2014-06-18 02:18 . 2014-07-10 06:34	692736	----a-w-	c:\windows\system32\osk.exe
2014-06-18 01:51 . 2014-07-10 06:34	646144	----a-w-	c:\windows\SysWow64\osk.exe
2014-06-06 10:10 . 2014-07-10 06:34	624128	----a-w-	c:\windows\system32\qedit.dll
2014-06-06 09:44 . 2014-07-10 06:34	509440	----a-w-	c:\windows\SysWow64\qedit.dll
2014-06-05 14:45 . 2014-07-10 06:33	1460736	----a-w-	c:\windows\system32\lsasrv.dll
2014-06-05 14:26 . 2014-07-10 06:33	22016	----a-w-	c:\windows\SysWow64\secur32.dll
2014-06-05 14:25 . 2014-07-10 06:33	96768	----a-w-	c:\windows\SysWow64\sspicli.dll
2014-06-05 10:54 . 2014-07-11 07:30	10779000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{5846C162-0F5F-40A1-8941-F5AB63573E78}\mpengine.dll
2014-05-30 08:08 . 2014-07-10 06:34	210944	----a-w-	c:\windows\system32\wdigest.dll
2014-05-30 08:08 . 2014-07-10 06:34	86528	----a-w-	c:\windows\system32\TSpkg.dll
2014-05-30 08:08 . 2014-07-10 06:34	340992	----a-w-	c:\windows\system32\schannel.dll
2014-05-30 08:08 . 2014-07-10 06:34	314880	----a-w-	c:\windows\system32\msv1_0.dll
2014-05-30 08:08 . 2014-07-10 06:34	307200	----a-w-	c:\windows\system32\ncrypt.dll
2014-05-30 08:08 . 2014-07-10 06:34	728064	----a-w-	c:\windows\system32\kerberos.dll
2014-05-30 08:08 . 2014-07-10 06:34	22016	----a-w-	c:\windows\system32\credssp.dll
2014-05-30 07:52 . 2014-07-10 06:34	172032	----a-w-	c:\windows\SysWow64\wdigest.dll
2014-05-30 07:52 . 2014-07-10 06:34	65536	----a-w-	c:\windows\SysWow64\TSpkg.dll
2014-05-30 07:52 . 2014-07-10 06:34	247808	----a-w-	c:\windows\SysWow64\schannel.dll
2014-05-30 07:52 . 2014-07-10 06:34	220160	----a-w-	c:\windows\SysWow64\ncrypt.dll
2014-05-30 07:52 . 2014-07-10 06:34	259584	----a-w-	c:\windows\SysWow64\msv1_0.dll
2014-05-30 07:52 . 2014-07-10 06:34	550912	----a-w-	c:\windows\SysWow64\kerberos.dll
2014-05-30 07:52 . 2014-07-10 06:34	17408	----a-w-	c:\windows\SysWow64\credssp.dll
2014-05-30 06:45 . 2014-07-10 06:34	497152	----a-w-	c:\windows\system32\drivers\afd.sys
2013-08-03 15:21 . 2013-08-03 15:21	985600	----a-w-	c:\program files\splpp.dll
2013-08-03 15:21 . 2013-08-03 15:21	86528	----a-w-	c:\program files\wizard.exe
2013-08-03 15:21 . 2013-08-03 15:21	855040	----a-w-	c:\program files\spssl.dll
2013-08-03 15:21 . 2013-08-03 15:21	85504	----a-w-	c:\program files\uclanguage.dll
2013-08-03 15:21 . 2013-08-03 15:21	83456	----a-w-	c:\program files\spudb.dll
2013-08-03 15:21 . 2013-08-03 15:21	74752	----a-w-	c:\program files\cdcc.exe
2013-08-03 15:21 . 2013-08-03 15:21	73728	----a-w-	c:\program files\zlib1.dll
2013-08-03 15:21 . 2013-08-03 15:21	398848	----a-w-	c:\program files\dccproc.exe
2013-08-03 15:21 . 2013-08-03 15:21	380928	----a-w-	c:\program files\sqlite3.dll
2013-08-03 15:21 . 2013-08-03 15:21	2472448	----a-w-	c:\program files\spamihilator.exe
2013-08-03 15:21 . 2013-08-03 15:21	141824	----a-w-	c:\program files\spu2.dll
2013-08-03 15:21 . 2013-08-03 15:21	13824	----a-w-	c:\program files\crashhandler.dll
2013-08-03 15:21 . 2013-08-03 15:21	137728	----a-w-	c:\program files\spu.dll
2013-08-03 15:21 . 2013-08-03 15:21	111104	----a-w-	c:\program files\spsock.dll
2011-04-18 22:54 . 2011-04-18 22:54	161280	----a-w-	c:\program files (x86)\7z.sfx
2011-04-18 22:54 . 2011-04-18 22:54	151040	----a-w-	c:\program files (x86)\7zCon.sfx
2011-04-18 22:51 . 2011-04-18 22:51	1478656	----a-w-	c:\program files (x86)\7z.dll
2011-04-18 22:38 . 2011-04-18 22:38	419328	----a-w-	c:\program files (x86)\7zG.exe
2011-04-18 22:37 . 2011-04-18 22:37	746496	----a-w-	c:\program files (x86)\7zFM.exe
2011-04-18 22:35 . 2011-04-18 22:35	88064	----a-w-	c:\program files (x86)\7-zip.dll
2011-04-18 22:34 . 2011-04-18 22:34	56320	----a-w-	c:\program files (x86)\7-zip32.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"speed_bump"="c:\program files\Common Files\Microsoft Shared\ink\th-TH\bank_statement\in_collection.exe" [2012-02-23 161280]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-04-20 336384]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2011-09-16 115048]
"CLMLServer"="c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"PDFPrint"="c:\program files (x86)\PDF24\pdf24.exe" [2013-06-10 162856]
"EEventManager"="c:\program files (x86)\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"RUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\rusb3mon.exe" [2011-05-17 106344]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2014-08-06 751184]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2014-07-11 256896]
"Avira Systray"="c:\program files (x86)\Avira\My Avira\Avira.OE.Systray.exe" [2014-07-14 190032]
"SDTray"="c:\program files (x86)\Spybot - Search & Destroy 2\SDTray.exe" [2014-06-24 4101576]
"TrojanScanner"="c:\program files (x86)\Trojan Remover\Trjscan.exe" [2014-08-18 1666432]
.
c:\users\MasterMedion7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Spamihilator.lnk - c:\program files\spamihilator.exe [2013-8-3 2472448]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Secunia PSI Tray.lnk - c:\program files (x86)\Secunia\PSI\psi_tray.exe [2013-7-3 563416]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean64.exe
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 email_message;sales_order_line;c:\windows\assembly\GAC\Microsoft.Office.Interop.Access.Dao\12.0.0.0__71e9bce111e9429c\refresh_your_pc\template.exe;c:\windows\assembly\GAC\Microsoft.Office.Interop.Access.Dao\12.0.0.0__71e9bce111e9429c\refresh_your_pc\template.exe [x]
R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\Drivers\ssadadb.sys;c:\windows\SYSNATIVE\Drivers\ssadadb.sys [x]
R3 AODDriver4.0;AODDriver4.0;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf_amd64.sys;c:\windows\SYSNATIVE\DRIVERS\psi_mf_amd64.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys;c:\windows\SYSNATIVE\DRIVERS\ssadbus.sys [x]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys;c:\windows\SYSNATIVE\DRIVERS\ssadmdfl.sys [x]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys;c:\windows\SYSNATIVE\DRIVERS\ssadmdm.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys;c:\windows\SYSNATIVE\DRIVERS\wsvd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe;c:\program files\Windows Live\Mesh\wlcrasvc.exe [x]
S0 amd_sata;amd_sata;c:\windows\system32\drivers\amd_sata.sys;c:\windows\SYSNATIVE\drivers\amd_sata.sys [x]
S0 amd_xata;amd_xata;c:\windows\system32\drivers\amd_xata.sys;c:\windows\SYSNATIVE\drivers\amd_xata.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys;c:\windows\SYSNATIVE\DRIVERS\avkmgr.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [x]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys;c:\windows\SYSNATIVE\drivers\aswHwid.sys [x]
S2 Avira.OE.ServiceHost;Avira Service Host;c:\program files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe;c:\program files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe [x]
S2 EPSON_EB_RPCV4_04;EPSON V5 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50STB.EXE;c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50STB.EXE [x]
S2 EPSON_PM_RPCV4_04;EPSON V3 Service4(04);c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RPB.EXE;c:\program files\Common Files\EPSON\EPW!3 SSRP\E_S50RPB.EXE [x]
S2 SDScannerService;Spybot-S&D 2 Scanner Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe;c:\program files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [x]
S2 SDUpdateService;Spybot-S&D 2 Updating Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe;c:\program files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [x]
S2 SDWSCService;Spybot-S&D 2 Security Center Service;c:\program files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe;c:\program files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [x]
S2 Secunia PSI Agent;Secunia PSI Agent;c:\program files (x86)\Secunia\PSI\PSIA.exe;c:\program files (x86)\Secunia\PSI\PSIA.exe [x]
S2 STRATO HiDrive Service;STRATO HiDrive Service;c:\program files (x86)\STRATO AG\STRATO HiDrive\STRATO HiDrive Service.exe;c:\program files (x86)\STRATO AG\STRATO HiDrive\STRATO HiDrive Service.exe [x]
S3 amdiox64;AMD IO Driver;c:\windows\system32\drivers\amdiox64.sys;c:\windows\SYSNATIVE\drivers\amdiox64.sys [x]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys;c:\windows\SYSNATIVE\drivers\AtihdW76.sys [x]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\nusb3xhc.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys;c:\windows\SYSNATIVE\DRIVERS\RTL8192su.sys [x]
S3 rusb3hub;Renesas Electronics USB 3.0 Hub Driver (Version 3.0);c:\windows\system32\DRIVERS\rusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\rusb3hub.sys [x]
S3 rusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver (Version 3.0);c:\windows\system32\DRIVERS\rusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\rusb3xhc.sys [x]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys;c:\windows\SYSNATIVE\DRIVERS\usbfilter.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2014-08-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-07-23 15:36]
.
2014-08-11 c:\windows\Tasks\Check for updates (Spybot - Search & Destroy).job
- c:\program files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2014-08-11 09:52]
.
2014-08-11 c:\windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job
- c:\program files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2014-08-11 08:41]
.
2014-08-11 c:\windows\Tasks\Scan the system (Spybot - Search & Destroy).job
- c:\program files (x86)\Spybot - Search & Destroy 2\SDScan.exe [2014-08-11 08:42]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-05-09 11821160]
"MedionReminder"="c:\program files (x86)\CyberLink\PowerRecover\Reminder.exe" [2011-05-25 443688]
"speed_bump"="c:\program files\Common Files\Microsoft Shared\ink\th-TH\bank_statement\in_collection.exe" [2012-02-23 161280]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MedionReminder"="c:\program files (x86)\CyberLink\PowerRecover\Reminder.exe" [2011-05-25 443688]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.allsens.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Alles mit FDM herunterladen - file://c:\program files (x86)\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\program files (x86)\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\program files (x86)\Free Download Manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~3\Office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\program files (x86)\Free Download Manager\dlfvideo.htm
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\MasterMedion7\AppData\Roaming\Mozilla\Firefox\Profiles\8uo31z50.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-RunOnce-bad_debt - c:\program files\Common Files\Microsoft Shared\ink\et-EE\category\carrier.exe
Notify-SDWinLogon - SDWinLogon.dll
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_14_0_0_145_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_14_0_0_145_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_14_0_0_145.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.14"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_14_0_0_145.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_14_0_0_145.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_14_0_0_145.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2014-08-21  10:05:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2014-08-21 08:05
.
Vor Suchlauf: 9 Verzeichnis(se), 768.817.422.336 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 768.112.717.824 Bytes frei
.
- - End Of File - - F39D1BA2CB679FCDD59890EF979A23D2
         
 --- --- ---
8BCB23B30DB1819E7D8DDAE01AEBB583

M-K-D-B · 21.08.2014, 09:27

Schritt 1
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 4

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei von AdwCleaner,
die Logdatei von JRT,
die Logdatei von MBAM,
die beiden neuen Logdateien von FRST.

20.08.2014, 22:55	#4
M-K-D-B /// TB-Ausbilder	Windows 7: Trojaner nach gefälschter Bank-Mail Servus, den Echtzeitschutz von Spybot kann man mit Sicherheit deaktivieren, hab das Programm nur leider selbst nicht getestet. ComboFix trotz des Hinweises bezüglich Spybot starten, wenn du das mit dem Deaktivieren nicht hinbekommst... sollte kein Problem sein, wenn Spybot noch aktiv ist.

Windows 7: Trojaner nach gefälschter Bank-Mail

Log-Analyse und Auswertung: Windows 7: Trojaner nach gefälschter Bank-Mail