Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.11.2014, 17:09   #16
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



So Log ist da.

Code:
ATTFilter
SystemLook 30.07.11 by jpshortstuff
Log created at 17:04 on 15/11/2014 by RedMax
Administrator - Elevation successful

========== file ==========

C:\Windows\SysWOW64\FirewallAPI.dll - File found and opened.
MD5: 798C2CA83A7EC37D307AB0FF3ADED399
Created at 23:53 on 13/07/2009
Modified at 19:17 on 21/02/2014
Size: 180736 bytes
Attributes: --a----
No version information available.

========== filefind ==========

Searching for "*FirewallAPI.dll*"
C:\Windows\System32\FirewallAPI.dll	--a---- 748032 bytes	[00:08 14/07/2009]	[01:40 14/07/2009] 9AD9E06F8656F296D91FAE8EE5B95A27
C:\Windows\System32\de-DE\FirewallAPI.dll.mui	--a---- 132608 bytes	[01:23 10/12/2012]	[03:59 20/11/2010] 0F4CAECB70C227811116172F2F8C8857
C:\Windows\System32\en-US\FirewallAPI.dll.mui	--a---- 112128 bytes	[01:22 10/12/2012]	[04:09 20/11/2010] C355096C37A19A4FC4A9176863C6D2DB
C:\Windows\SysWOW64\FirewallAPI.dll	--a---- 180736 bytes	[23:53 13/07/2009]	[19:17 21/02/2014] 798C2CA83A7EC37D307AB0FF3ADED399
C:\Windows\SysWOW64\de-DE\FirewallAPI.dll.mui	--a---- 132608 bytes	[01:23 10/12/2012]	[03:09 20/11/2010] 851B4FE74F64F4428B1CEF8EAD7130A8
C:\Windows\SysWOW64\en-US\FirewallAPI.dll.mui	--a---- 112128 bytes	[01:22 10/12/2012]	[03:15 20/11/2010] 03AA82C3772DE28C96E4C83A4A07AF61
C:\Windows\winsxs\amd64_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7600.16385_de-de_3a6ccfe0b94b2682\FirewallAPI.dll.mui	--a---- 132096 bytes	[01:01 10/12/2012]	[17:58 13/07/2009] C9316D35272BDAD6A97CFCF3FC6DB074
C:\Windows\winsxs\amd64_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7600.16385_en-us_e35da5d9a8293247\FirewallAPI.dll.mui	--a---- 111616 bytes	[05:35 14/07/2009]	[02:29 14/07/2009] 46E9138E4E29B7132F54E280F432CF93
C:\Windows\winsxs\amd64_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_de-de_3c9de3a8b639aa1c\FirewallAPI.dll.mui	--a---- 132608 bytes	[01:23 10/12/2012]	[03:59 20/11/2010] 0F4CAECB70C227811116172F2F8C8857
C:\Windows\winsxs\amd64_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_en-us_e58eb9a1a517b5e1\FirewallAPI.dll.mui	--a---- 112128 bytes	[01:22 10/12/2012]	[04:09 20/11/2010] C355096C37A19A4FC4A9176863C6D2DB
C:\Windows\winsxs\amd64_networking-mpssvc-svc_31bf3856ad364e35_6.1.7600.16385_none_f6092d1fe18dc440\FirewallAPI.dll	--a---- 748032 bytes	[00:08 14/07/2009]	[01:40 14/07/2009] 9AD9E06F8656F296D91FAE8EE5B95A27
C:\Windows\winsxs\amd64_networking-mpssvc-svc_31bf3856ad364e35_6.1.7601.17514_none_f83a40e7de7c47da\FirewallAPI.dll	--a---- 748032 bytes	[00:08 14/07/2009]	[01:40 14/07/2009] 9AD9E06F8656F296D91FAE8EE5B95A27
C:\Windows\winsxs\Backup\amd64_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_de-de_3c9de3a8b639aa1c_firewallapi.dll.mui_43c7a05b	--a---- 132608 bytes	[01:34 10/12/2012]	[01:32 10/12/2012] 0F4CAECB70C227811116172F2F8C8857
C:\Windows\winsxs\Backup\amd64_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_en-us_e58eb9a1a517b5e1_firewallapi.dll.mui_43c7a05b	--a---- 112128 bytes	[01:34 10/12/2012]	[01:32 10/12/2012] C355096C37A19A4FC4A9176863C6D2DB
C:\Windows\winsxs\Backup\amd64_networking-mpssvc-svc_31bf3856ad364e35_6.1.7601.17514_none_f83a40e7de7c47da_firewallapi.dll_b7801b42	--a---- 748032 bytes	[01:34 10/12/2012]	[01:32 10/12/2012] 9AD9E06F8656F296D91FAE8EE5B95A27
C:\Windows\winsxs\Backup\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_de-de_e07f4824fddc38e6_firewallapi.dll.mui_43c7a05b	--a---- 132608 bytes	[01:34 10/12/2012]	[01:32 10/12/2012] 851B4FE74F64F4428B1CEF8EAD7130A8
C:\Windows\winsxs\Backup\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_en-us_89701e1decba44ab_firewallapi.dll.mui_43c7a05b	--a---- 112128 bytes	[01:34 10/12/2012]	[01:32 10/12/2012] 03AA82C3772DE28C96E4C83A4A07AF61
C:\Windows\winsxs\wow64_networking-mpssvc-svc_31bf3856ad364e35_6.1.7600.16385_none_005dd77215ee863b\FirewallAPI.dll	--a---- 462848 bytes	[23:53 13/07/2009]	[01:15 14/07/2009] 3F50200237961034FACE602373838980
C:\Windows\winsxs\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7600.16385_de-de_de4e345d00edb54c\FirewallAPI.dll.mui	--a---- 132096 bytes	[01:01 10/12/2012]	[17:38 13/07/2009] 854F93C6D9F3AE1FAD52F1653D7D5812
C:\Windows\winsxs\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7600.16385_en-us_873f0a55efcbc111\FirewallAPI.dll.mui	--a---- 111616 bytes	[05:35 14/07/2009]	[02:02 14/07/2009] 5B5A3218962C2BEA0E80788BD345D29A
C:\Windows\winsxs\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_de-de_e07f4824fddc38e6\FirewallAPI.dll.mui	--a---- 132608 bytes	[01:23 10/12/2012]	[03:09 20/11/2010] 851B4FE74F64F4428B1CEF8EAD7130A8
C:\Windows\winsxs\x86_networking-mpssvc-svc.resources_31bf3856ad364e35_6.1.7601.17514_en-us_89701e1decba44ab\FirewallAPI.dll.mui	--a---- 112128 bytes	[01:22 10/12/2012]	[03:15 20/11/2010] 03AA82C3772DE28C96E4C83A4A07AF61

-= EOF =-
         


Wenn es ein Fehlalarm sein könnte, warum schreit dann plötzlich Tuneup dass die Firewall ausgeschalten ist? vielleicht kannst du mir ja wenn es sich um einen Fehlalarm handelt helfen das noch zu überprüfen.

Alt 15.11.2014, 17:27   #17
M-K-D-B
/// TB-Ausbilder
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Servus,




wir ersetzen die Datei durch ein Backup:


Avast vorher deaktivieren!




Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

    Code:
    ATTFilter
    FCopy::
    C:\Windows\winsxs\wow64_networking-mpssvc-svc_31bf3856ad364e35_6.1.7600.16385_none_005dd77215ee863b\FirewallAPI.dll | C:\Windows\SysWOW64\FirewallAPI.dll
             
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

__________________


Alt 15.11.2014, 17:47   #18
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Wie gewünscht txt reingezogen und daduch ComboFix gestartet

Code:
ATTFilter
ComboFix 14-11-15.01 - RedMax 15.11.2014  17:40:39.2.8 - x64
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.43.1033.18.16328.13577 [GMT 1:00]
ausgeführt von:: c:\users\RedMax\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\RedMax\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
FW: avast! Antivirus *Disabled* {2F96FC65-F07D-9D1E-5A6E-3DA5C487EAF0}
SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
--------------- FCopy ---------------
.
c:\windows\winsxs\wow64_networking-mpssvc-svc_31bf3856ad364e35_6.1.7600.16385_none_005dd77215ee863b\FirewallAPI.dll --> c:\windows\SysWOW64\FirewallAPI.dll
.
(((((((((((((((((((((((   Dateien erstellt von 2014-10-15 bis 2014-11-15  ))))))))))))))))))))))))))))))
.
.
2014-11-15 16:44 . 2014-11-15 16:44	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2014-11-15 16:44 . 2014-11-15 16:44	--------	d-----w-	c:\users\Default\AppData\Local\temp
2014-11-15 07:22 . 2014-11-15 07:23	--------	d-----w-	C:\FRST
2014-11-14 01:15 . 2014-11-14 01:15	319912	----a-w-	c:\windows\system32\javaws.exe
2014-11-14 01:15 . 2014-11-14 01:15	189352	----a-w-	c:\windows\system32\javaw.exe
2014-11-14 01:15 . 2014-11-14 01:15	189352	----a-w-	c:\windows\system32\java.exe
2014-11-14 01:15 . 2014-11-14 01:15	111016	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2014-11-13 23:03 . 2014-11-13 23:03	37624	----a-w-	c:\windows\system32\drivers\TrueSight.sys
2014-11-13 23:02 . 2014-11-13 23:03	--------	d-----w-	c:\programdata\RogueKiller
2014-11-13 22:18 . 2014-11-14 15:18	129752	----a-w-	c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-11-13 22:17 . 2014-11-13 22:17	--------	d-----w-	c:\program files (x86)\ Malwarebytes Anti-Malware 
2014-11-13 22:17 . 2014-11-13 22:17	--------	d-----w-	c:\programdata\Malwarebytes
2014-11-13 22:17 . 2014-10-01 10:11	63704	----a-w-	c:\windows\system32\drivers\mwac.sys
2014-11-13 22:17 . 2014-10-01 10:11	93400	----a-w-	c:\windows\system32\drivers\mbamchameleon.sys
2014-11-13 22:17 . 2014-10-01 10:11	25816	----a-w-	c:\windows\system32\drivers\mbam.sys
2014-11-13 21:31 . 2014-11-13 21:43	--------	d-----w-	C:\AdwCleaner
2014-11-11 14:36 . 2014-10-03 19:23	38216	----a-w-	c:\windows\system32\drivers\nvvad64v.sys
2014-11-11 14:36 . 2014-10-03 19:23	32584	----a-w-	c:\windows\SysWow64\nvaudcap32v.dll
2014-11-10 16:27 . 2014-11-03 20:25	615568	----a-w-	c:\windows\SysWow64\nvStreaming.exe
2014-11-05 13:22 . 2014-10-30 04:53	1876296	----a-w-	c:\windows\system32\nvdispco6434460.dll
2014-11-05 13:22 . 2014-10-30 04:53	1539272	----a-w-	c:\windows\system32\nvdispgenco6434460.dll
2014-11-02 23:39 . 2014-11-02 23:43	--------	d-----w-	c:\users\RedMax\AppData\Roaming\.technic
2014-11-01 18:55 . 2014-11-01 18:56	--------	d-----w-	c:\users\RedMax\AppData\Roaming\Cubic
2014-11-01 15:37 . 2014-11-01 15:48	--------	d-----w-	c:\users\RedMax\AppData\Local\CSO
2014-11-01 15:37 . 2014-11-01 15:37	--------	d-----w-	c:\programdata\Nexon
2014-10-30 18:52 . 2014-10-30 18:52	--------	d-----w-	c:\users\RedMax\AppData\Local\GHOSTBUSTERS (tm)
2014-10-29 10:04 . 2014-10-16 16:54	1876296	----a-w-	c:\windows\system32\nvdispco6434448.dll
2014-10-29 10:04 . 2014-10-16 16:54	1539272	----a-w-	c:\windows\system32\nvdispgenco6434448.dll
2014-10-21 13:33 . 2014-10-21 13:33	--------	d-----w-	c:\program files (x86)\Common Files\Java
2014-10-21 13:33 . 2014-10-21 13:33	98216	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2014-10-21 13:33 . 2014-10-21 13:33	--------	d-----w-	c:\program files (x86)\Java
2014-10-16 20:18 . 2014-10-16 20:18	--------	d-----w-	c:\program files (x86)\Sony
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-11-12 17:42 . 2012-12-10 01:07	71344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2014-11-12 17:42 . 2012-12-10 01:07	701104	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2014-11-06 17:06 . 2014-06-28 19:30	1291280	----a-w-	c:\windows\SysWow64\nvspbridge.dll
2014-11-06 17:06 . 2014-01-15 22:55	2197680	----a-w-	c:\windows\SysWow64\nvspcap.dll
2014-11-06 17:06 . 2014-06-28 19:30	1715224	----a-w-	c:\windows\system32\nvspbridge64.dll
2014-11-06 17:06 . 2014-01-15 22:55	2800296	----a-w-	c:\windows\system32\nvspcap64.dll
2014-11-04 00:04 . 2014-01-15 22:54	73872	----a-w-	c:\windows\system32\OpenCL.dll
2014-11-04 00:04 . 2014-01-15 22:54	59592	----a-w-	c:\windows\SysWow64\OpenCL.dll
2014-11-04 00:04 . 2014-01-15 22:53	987520	----a-w-	c:\windows\system32\nvumdshimx.dll
2014-11-04 00:04 . 2014-01-15 22:53	3238040	----a-w-	c:\windows\system32\nvapi64.dll
2014-11-04 00:04 . 2014-01-15 22:53	2849736	----a-w-	c:\windows\SysWow64\nvapi.dll
2014-11-04 00:04 . 2014-01-15 22:53	20985544	----a-w-	c:\windows\system32\nvwgf2umx.dll
2014-11-04 00:04 . 2014-01-15 22:53	19966344	----a-w-	c:\windows\system32\nvd3dumx.dll
2014-11-04 00:04 . 2014-01-15 22:53	16884632	----a-w-	c:\windows\SysWow64\nvd3dum.dll
2014-11-03 22:02 . 2014-01-15 22:54	6882448	----a-w-	c:\windows\system32\nvcpl.dll
2014-11-03 22:02 . 2014-01-15 22:54	3531464	----a-w-	c:\windows\system32\nvsvc64.dll
2014-11-03 22:02 . 2014-01-15 22:54	935232	----a-w-	c:\windows\system32\nvvsvc.exe
2014-11-03 22:02 . 2014-01-15 22:54	61640	----a-w-	c:\windows\system32\nvshext.dll
2014-11-03 22:02 . 2014-01-15 22:54	385352	----a-w-	c:\windows\system32\nvmctray.dll
2014-11-03 22:02 . 2014-01-15 22:54	2558792	----a-w-	c:\windows\system32\nvsvcr.dll
2014-11-03 11:58 . 2014-01-15 22:54	4099264	----a-w-	c:\windows\system32\nvcoproc.bin
2014-10-03 19:23 . 2014-01-15 22:53	35144	----a-w-	c:\windows\system32\nvaudcap64v.dll
2014-09-24 10:33 . 2009-08-18 11:49	564632	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2014-09-24 10:33 . 2009-08-18 10:24	23256	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2014-09-17 04:51 . 2014-09-19 08:37	31520	----a-w-	c:\windows\system32\nvhdap64.dll
2014-09-17 04:51 . 2014-09-19 08:37	197408	----a-w-	c:\windows\system32\drivers\nvhda64v.sys
2014-09-17 04:51 . 2014-01-15 22:53	1538880	----a-w-	c:\windows\system32\nvhdagenco6420103.dll
2014-09-13 23:48 . 2014-09-19 08:37	1876296	----a-w-	c:\windows\system32\nvdispco6434411.dll
2014-09-13 23:48 . 2014-09-19 08:37	1539272	----a-w-	c:\windows\system32\nvdispgenco6434411.dll
2014-09-03 14:54 . 2014-09-03 14:54	53248	----a-r-	c:\users\RedMax\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2014-08-31 14:02 . 2014-05-18 21:00	281688	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2014-08-31 14:02 . 2012-12-10 16:43	281688	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-10 23:54	131248	----a-w-	c:\users\RedMax\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-10 23:54	131248	----a-w-	c:\users\RedMax\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-10 23:54	131248	----a-w-	c:\users\RedMax\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="e:\program files (x86)\Steam\steam.exe" [2014-11-12 1940160]
"CCleaner Monitoring"="c:\program files\CCleaner\CCleaner64.exe" [2014-10-29 6501656]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2012-03-26 291608]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe" [2012-02-29 56088]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-31 4085896]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-08-21 959176]
"LWS"="c:\program files (x86)\Logitech\LWS\Webcam Software\LWS.exe" [2012-09-12 204136]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Inhaltsmanager-Assistent für PlayStation(R).lnk - c:\program files (x86)\Sony\Content Manager Assistant\CMA.exe [2014-9-16 3696248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sdnclean64.exe
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"BambooCore"=c:\program files (x86)\Bamboo Dock\BambooCore.exe
"LogMeIn Hamachi Ui"="d:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
"KiesTrayAgent"=d:\program files (x86)\Samsung\Kies\KiesTrayAgent.exe
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe"
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys;c:\windows\SYSNATIVE\drivers\aswStm.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
R3 cpuz135;cpuz135;c:\windows\TEMP\cpuz135\cpuz135_x64.sys;c:\windows\TEMP\cpuz135\cpuz135_x64.sys [x]
R3 cpuz136;cpuz136;c:\windows\TEMP\cpuz136\cpuz136_x64.sys;c:\windows\TEMP\cpuz136\cpuz136_x64.sys [x]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys;c:\windows\SYSNATIVE\DRIVERS\ssudbus.sys [x]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys;c:\windows\SYSNATIVE\drivers\EagleX64.sys [x]
R3 Garmin Core Update Service;Garmin Core Update Service;d:\program files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe;d:\program files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe [x]
R3 hidkmdf;KMDF Driver;c:\windows\system32\DRIVERS\hidkmdf.sys;c:\windows\SYSNATIVE\DRIVERS\hidkmdf.sys [x]
R3 NvStUSB;NVIDIA Stereoscopic 3D USB driver;c:\windows\system32\DRIVERS\nvstusb.sys;c:\windows\SYSNATIVE\DRIVERS\nvstusb.sys [x]
R3 Origin Client Service;Origin Client Service;e:\program files (x86)\Origin\OriginClientService.exe;e:\program files (x86)\Origin\OriginClientService.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys;c:\windows\SYSNATIVE\DRIVERS\ssadbus.sys [x]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys;c:\windows\SYSNATIVE\DRIVERS\ssadmdfl.sys [x]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys;c:\windows\SYSNATIVE\DRIVERS\ssadmdm.sys [x]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys;c:\windows\SYSNATIVE\DRIVERS\ssudmdm.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys;c:\windows\SYSNATIVE\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys;c:\windows\SYSNATIVE\drivers\tsusbhub.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys;c:\windows\SYSNATIVE\Drivers\usbaapl64.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys;c:\windows\SYSNATIVE\drivers\rdvgkmd.sys [x]
R3 WacHidRouter;Wacom Hid Router;c:\windows\system32\DRIVERS\wachidrouter.sys;c:\windows\SYSNATIVE\DRIVERS\wachidrouter.sys [x]
R3 wacomrouterfilter;Wacom Router Filter Driver;c:\windows\system32\DRIVERS\wacomrouterfilter.sys;c:\windows\SYSNATIVE\DRIVERS\wacomrouterfilter.sys [x]
R3 X6va011;X6va011;c:\windows\SysWOW64\Drivers\X6va011;c:\windows\SysWOW64\Drivers\X6va011 [x]
R4 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [x]
R4 TeamViewer9;TeamViewer 9;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe [x]
R4 WTabletServiceCon;Wacom Consumer Service;c:\program files\TABLET\PEN\WTABLETSERVICECON.EXE;c:\program files\TABLET\PEN\WTABLETSERVICECON.EXE [x]
S0 asahci64;asahci64;c:\windows\system32\DRIVERS\asahci64.sys;c:\windows\SYSNATIVE\DRIVERS\asahci64.sys [x]
S0 aswRvrt;avast! Revert; [x]
S0 aswVmm;avast! VM Monitor; [x]
S0 iusb3hcs;Intel(R) USB 3.0 Host Controller Switch Driver;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys;c:\windows\SYSNATIVE\drivers\aswSnx.sys [x]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys;c:\windows\SYSNATIVE\drivers\aswSP.sys [x]
S1 HWiNFO32;HWiNFO32/64 Kernel Driver;c:\windows\system32\drivers\HWiNFO64A.SYS;c:\windows\SYSNATIVE\drivers\HWiNFO64A.SYS [x]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys;c:\windows\SYSNATIVE\drivers\aswHwid.sys [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys;c:\windows\SYSNATIVE\drivers\aswMonFlt.sys [x]
S2 CodeMeter.exe;CodeMeter Runtime Server;c:\program files (x86)\CodeMeter\Runtime\bin\CodeMeter.exe;c:\program files (x86)\CodeMeter\Runtime\bin\CodeMeter.exe [x]
S2 DTSAudioSvc;DTSAudioSvc;c:\program files\Realtek\Audio\HDA\DTSU2PAuSrv64.exe;c:\program files\Realtek\Audio\HDA\DTSU2PAuSrv64.exe [x]
S2 GfExperienceService;NVIDIA GeForce Experience Service;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [x]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
S2 Intel(R) PROSet Monitoring Service;Intel(R) PROSet Monitoring Service;c:\windows\system32\IProsetMonitor.exe;c:\windows\SYSNATIVE\IProsetMonitor.exe [x]
S2 NvNetworkService;NVIDIA Network Service;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [x]
S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [x]
S2 sp_rsdrv2;Spyware Terminator Driver Filter;c:\windows\system32\DRIVERS\stflt.sys;c:\windows\SYSNATIVE\DRIVERS\stflt.sys [x]
S2 ST2012_Svc;Spyware Terminator 2012 Realtime Shield Service;c:\program files (x86)\Spyware Terminator\st_rsser64.exe;c:\program files (x86)\Spyware Terminator\st_rsser64.exe [x]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\program files (x86)\TUNEUP UTILITIES 2014\TUNEUPUTILITIESSERVICE64.EXE;d:\program files (x86)\TUNEUP UTILITIES 2014\TUNEUPUTILITIESSERVICE64.EXE [x]
S3 asmthub3;ASMedia USB3 Hub Service;c:\windows\system32\DRIVERS\asmthub3.sys;c:\windows\SYSNATIVE\DRIVERS\asmthub3.sys [x]
S3 asmtxhci;ASMEDIA XHCI Service;c:\windows\system32\DRIVERS\asmtxhci.sys;c:\windows\SYSNATIVE\DRIVERS\asmtxhci.sys [x]
S3 CompFilter64;UVCCompositeFilter;c:\windows\system32\DRIVERS\lvbflt64.sys;c:\windows\SYSNATIVE\DRIVERS\lvbflt64.sys [x]
S3 iusb3hub;Intel(R) USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Intel(R) USB 3.0 eXtensible Host Controller Driver;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys;c:\windows\SYSNATIVE\drivers\LGBusEnum.sys [x]
S3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\Drivers\LGPBTDD.sys;c:\windows\SYSNATIVE\Drivers\LGPBTDD.sys [x]
S3 LGSHidFilt;Logitech Gaming KMDF HID Filter Driver;c:\windows\system32\DRIVERS\LGSHidFilt.Sys;c:\windows\SYSNATIVE\DRIVERS\LGSHidFilt.Sys [x]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys;c:\windows\SYSNATIVE\drivers\LGVirHid.sys [x]
S3 LVRS64;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs64.sys;c:\windows\SYSNATIVE\DRIVERS\lvrs64.sys [x]
S3 LVUVC64;Logitech HD Webcam C525(UVC);c:\windows\system32\DRIVERS\lvuvc64.sys;c:\windows\SYSNATIVE\DRIVERS\lvuvc64.sys [x]
S3 NvStreamKms;NvStreamKms;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [x]
S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers\nvvad64v.sys;c:\windows\SYSNATIVE\drivers\nvvad64v.sys [x]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\program files (x86)\TUNEUP UTILITIES 2014\TuneUpUtilitiesDriver64.sys;d:\program files (x86)\TUNEUP UTILITIES 2014\TuneUpUtilitiesDriver64.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2014-11-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-10 17:42]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-07-22 21:43	634872	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-10 23:54	164016	----a-w-	c:\users\RedMax\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-10 23:54	164016	----a-w-	c:\users\RedMax\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-10 23:54	164016	----a-w-	c:\users\RedMax\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-10 23:54	164016	----a-w-	c:\users\RedMax\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtkNGUI64.exe" [2012-05-15 6470760]
"RtHDVBg_DTS"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2012-05-11 1175656]
"Launch LCore"="c:\program files\Logitech Gaming Software\LCore.exe" [2014-07-02 10464536]
"NvBackend"="c:\program files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe" [2014-11-06 2464072]
"ShadowPlay"="c:\windows\system32\nvspcap64.dll" [2014-11-06 2800296]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2009-09-30 825184]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
mSearch Page = hxxp://www.google.com
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
FF - ProfilePath - c:\users\RedMax\AppData\Roaming\Mozilla\Firefox\Profiles\mcwo6oe9.default\
FF - prefs.js: browser.search.defaulturl - hxxps://www.google.com/search
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxps://www.google.com/search
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va011"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3268893772-689285336-3042597260-1000\Software\SecuROM\License information*]
"datasecu"=hex:5f,0f,4c,c3,dc,b9,1b,69,4f,11,55,b0,ba,68,37,6c,aa,d1,41,4f,71,
   aa,6b,08,ca,23,7e,f4,79,21,fb,a3,cd,d6,9d,24,6a,2f,a1,17,22,2c,8c,aa,b8,fb,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_15_0_0_223_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_15_0_0_223_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_15_0_0_223_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_15_0_0_223_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_223.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.15"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_223.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_223.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_223.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2014-11-15  17:45:59
ComboFix-quarantined-files.txt  2014-11-15 16:45
ComboFix2.txt  2014-11-15 14:36
.
Vor Suchlauf: 14 Verzeichnis(se), 70.935.474.176 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 70.856.196.096 Bytes frei
.
- - End Of File - - FCB3A544C13CABCDDD9DD0784FCEB355
         
__________________

Alt 15.11.2014, 19:25   #19
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Also ich habe mir vorher schon einen Screenshot gemacht wegen eines Forums bevor ich zu euch gekommen bin und hatte diesen gemacht da ich wissen wollte warum eine "FirewallAPI.dl" vorhanden ist.

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich-firewall.dll-screen.jpg
mich hatte auch gewundet warum die größen
FirewallAPI.dll 177KB
FirewallAPI.dl 452KB

betragen hatten.

Nach einem PC Neustart nach ausführen des Scripts für ComboFix, kam bis jetzt keine Meldung mehr beim Ausführen von Steam, TuneUp und Firefox. Daher habe ich nochmal die FirewallAPI.dll aufgesucht und verglichen mit dem Screenshot von vorher:

Nun
betragen beide
FirewallAPI.dll 452KB
FirewallAPI.dl 452KB

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich-firewall.dll-neu.jpg

Auch beim untersuchen der FirewallAPI.dll mit Avast kam grünes Licht.

Ich hatte zuvor auch schon die FirewallAPI.dl Datei (weil .dl etwas komisch war) mit Virustotal checken lassen und da war alles ohne bedenken (leider kein link mehr vorhanden daher nochmals für dich checken lassen)

https://www.virustotal.com/de/file/f97d72cc75d921cf8f8e0544614407358aeff97a8f48e4a89f82689ee8f2fc86/analysis/1416075710/

Nun hab ich auch die "wiederhergestellte" FirewallAPI.dll mit VirusTotal untersuchen lassen:
https://www.virustotal.com/de/file/f97d72cc75d921cf8f8e0544614407358aeff97a8f48e4a89f82689ee8f2fc86/analysis/1416075710/


Wäre es hilfreich gewesen es vorher bekannt zugeben dass eine .dl vorhanden ist?
War da jetzt wirklich etwas? Wenn ja, stimmt es dass diese Art von Maleware gefährlich ist und Daten wie Passwörter und Zahlungs-Daten ausspionieren könnte?

Alt 16.11.2014, 08:11   #20
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



sry hatte beim Virustotal Scan der FirewallAPI.dl den falschen link geschickt und somit nochmals gescant, ich wollte dir damit zeigen dass sie eigentlich trotz .dl statt .dll keine bedrohung laut scan aufweist.

https://www.virustotal.com/de/file/f97d72cc75d921cf8f8e0544614407358aeff97a8f48e4a89f82689ee8f2fc86/analysis/1416121671/

Mich würde gerne interessieren warum sie eine .dl Endung hat.


Alt 16.11.2014, 12:14   #21
M-K-D-B
/// TB-Ausbilder
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Zitat:
Zitat von RedMax88 Beitrag anzeigen
Mich würde gerne interessieren warum sie eine .dl Endung hat.
Gute Frage, ich schau mal, ob ich was dazu finde... sehe ich nämlich auch zum ersten Mal....

Hab was dazu gefunden:
Also ".dl" ist wohl eine Imagedatei (Speicherabbild) von ".dll" .

Aber schon mal ok, wenn da jetzt Avast nichts mehr meldet.





Wir entfernen die letzten Reste und kontrollieren nochmal alles. EEK und ESET können länger (> 2 h) dauern.
Im Anschluss entfernen wir alle verwendeten Tools und ich gebe dir noch ein paar Tipps mit auf den Weg.




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Code:
ATTFilter
start
CloseProcesses:
EmptyTemp:
end
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.






Schritt 2
Lade Dir bitte von hier Emsisoft Emergency Kit Download Emsisoft Emergency Kit herunter.
  • Bitte installiere das Programm in den vorgegebenen Pfad.
  • Starte das Programm durch Doppelklick der Desktopverknüpfung.
  • Das EEK ist nach dem Laden der Malwaresignaturen für den Scan bereit.
  • Folge nun bitte der bebilderten Bildanleitung zu Emergency Kit, entferne alle Funde und poste am Ende des Scans bzw. der Bereinigung das Log.






Schritt 3

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset






Schritt 4
Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.






Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von EEK,
  • die Logdatei von ESET,
  • die Logdatei von SecurityCheck.

Alt 17.11.2014, 16:59   #22
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Schritt 1 Durchgeführt:

FRST Fixlog
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-11-2014
Ran by RedMax at 2014-11-16 14:03:30 Run:1
Running from C:\Users\RedMax\Desktop
Loaded Profile: RedMax (Available profiles: RedMax)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
start
CloseProcesses:
EmptyTemp:
end
*****************

Processes closed successfully.
EmptyTemp: => Removed 399.3 MB temporary data.


The system needed a reboot. 

==== End of Fixlog ====
         
Gehe nun zu Schritt 2

Schritt 2:

Bereinigt und Bericht:

Code:
ATTFilter
Emsisoft Emergency Kit - Version 9.0
Letztes Update: 16.11.2014 14:12:14
Benutzerkonto: REDMAX\RedMax

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, K:\

PUPs-Erkennung: An
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	16.11.2014 14:13:08
Value: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS 	gefunden: Setting.DisableRegistryTools (A)
Key: HKEY_USERS\.DEFAULT\SOFTWARE\APPDATALOW\{1146AC44-2F03-4431-B4FD-889BC837521F} 	gefunden: Application.Win32.InstallAd (A)
Key: HKEY_USERS\S-1-5-20\SOFTWARE\APPDATALOW\{1146AC44-2F03-4431-B4FD-889BC837521F} 	gefunden: Application.Win32.InstallAd (A)
Key: HKEY_USERS\S-1-5-18\SOFTWARE\APPDATALOW\{1146AC44-2F03-4431-B4FD-889BC837521F} 	gefunden: Application.Win32.InstallAd (A)
C:\AdwCleaner\Quarantine\C\Windows\System32\drivers\wStLibG64.sys.vir 	gefunden: Adware.Agent.OBN (B)
C:\Qoobox\Quarantine\C\Windows\SysWOW64\FirewallAPI.dll.vir 	gefunden: Trojan.Generic.11908578 (B)
D:\pCars\steam_api.dll 	gefunden: Trojan.Generic.11967342 (B)
D:\pCars\steam_api64.dll 	gefunden: Trojan.Generic.12113547 (B)
D:\Sony Vegas Pro 12 Build 367 (64 bit patch-KHG) [ChingLiu]\patch - KHG\vegas.pro.12.-patch.exe 	gefunden: Riskware.Win32.HackTool (A)
D:\toolsew\Windows Loader\Windows Loader.exe 	gefunden: Riskware.Win32.HackTool (A)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\phonemeextractors\phonemeextractor_ims.dll 	gefunden: Gen:Variant.Kazy.494044 (B)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\serverplugin_empty.dll 	gefunden: Gen:Variant.Kazy.494044 (B)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\soundemittersystem.dll 	gefunden: Gen:Variant.Kazy.494044 (B)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\stdshader_dbg.dll 	gefunden: Gen:Variant.Kazy.494124 (B)
K:\toolsew\Windows Loader\Windows Loader.exe 	gefunden: Riskware.Win32.HackTool (A)

Gescannt	1135856
Gefunden	15

Scan Ende:	16.11.2014 18:29:25
Scan Zeit:	4:16:17

K:\toolsew\Windows Loader\Windows Loader.exe	Gelöscht Riskware.Win32.HackTool (A)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\stdshader_dbg.dll	Gelöscht Gen:Variant.Kazy.494124 (B)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\soundemittersystem.dll	Gelöscht Gen:Variant.Kazy.494044 (B)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\serverplugin_empty.dll	Gelöscht Gen:Variant.Kazy.494044 (B)
E:\Program Files (x86)\Steam\SteamApps\common\SourceFilmmaker\game\bin\phonemeextractors\phonemeextractor_ims.dll	Gelöscht Gen:Variant.Kazy.494044 (B)
D:\toolsew\Windows Loader\Windows Loader.exe	Gelöscht Riskware.Win32.HackTool (A)
D:\Sony Vegas Pro 12 Build 367 (64 bit patch-KHG) [ChingLiu]\patch - KHG\vegas.pro.12.-patch.exe	Gelöscht Riskware.Win32.HackTool (A)
D:\pCars\steam_api64.dll	Gelöscht Trojan.Generic.12113547 (B)
D:\pCars\steam_api.dll	Gelöscht Trojan.Generic.11967342 (B)
C:\Qoobox\Quarantine\C\Windows\SysWOW64\FirewallAPI.dll.vir	Gelöscht Trojan.Generic.11908578 (B)
C:\AdwCleaner\Quarantine\C\Windows\System32\drivers\wStLibG64.sys.vir	Gelöscht Adware.Agent.OBN (B)
Key: HKEY_USERS\S-1-5-18\SOFTWARE\APPDATALOW\{1146AC44-2F03-4431-B4FD-889BC837521F}	Gelöscht Application.Win32.InstallAd (A)
Key: HKEY_USERS\S-1-5-20\SOFTWARE\APPDATALOW\{1146AC44-2F03-4431-B4FD-889BC837521F}	Gelöscht Application.Win32.InstallAd (A)
Value: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM -> DISABLEREGISTRYTOOLS	Gelöscht Setting.DisableRegistryTools (A)

Gelöscht	14
         
So jetzt in Richtung Arbeit fahren, Nachdienst hinter mich bringen und dann vorm schlafen gehen werd ich ESET Online Scan starten. Nach 1 Stunde und 18 Minuten musst eich leider abbrechen da er erst bei ca ~30% war. Der braucht mehr Zeit. Will den PC aber jetzt nicht 8 Stunden ohne Firewall und Antivirus laufen lassen da meine Frau den PC nicht angreifen möchte (vorsichtig und angst was flasches zu machen). Also morgen zu Schritt 3.

ESET Log.txt

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=851341cc0b4f8741964d5881022deafa
# engine=21116
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-11-16 07:04:05
# local_time=2014-11-16 08:04:05 (+0100, Mitteleuropäische Zeit)
# country="Austria"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1='avast! Antivirus'
# compatibility_mode=783 16777213 100 97 377656 180585135 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 5632772 167794495 0 0
# scanned=276686
# found=1
# cleaned=0
# scan_time=4611
sh=CC41CADBBD6BA6ED0BFDD17798B4C9F94D7955E0 ft=1 fh=e26a6656a404b558 vn="Variante von Win32/Toolbar.Babylon.E evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\RedMax\AppData\Roaming\OpenCandy\C003FC00678747929C20D7EBA875897B\DeltaTB.exe.vir"
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=851341cc0b4f8741964d5881022deafa
# engine=21122
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-11-17 10:19:25
# local_time=2014-11-17 11:19:25 (+0100, Mitteleuropäische Zeit)
# country="Austria"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1='avast! Antivirus'
# compatibility_mode=783 16777213 100 97 428976 180640055 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 5687692 167849415 0 0
# scanned=1086171
# found=2
# cleaned=0
# scan_time=17170
sh=CC41CADBBD6BA6ED0BFDD17798B4C9F94D7955E0 ft=1 fh=e26a6656a404b558 vn="Variante von Win32/Toolbar.Babylon.E evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\RedMax\AppData\Roaming\OpenCandy\C003FC00678747929C20D7EBA875897B\DeltaTB.exe.vir"
sh=EF476640E69604879C540915C4BCBA9CF9F6A332 ft=1 fh=f1da0bf17500491a vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="D:\Downloads\FreeYouTubetoMP3Converter(1).exe"
         
Weiter mit Schritt 4.

So hab jetzt alle 4 Schritte fertig.

Security Check
checkup.txt

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.89  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
``````````````Antivirus/Firewall Check:`````````````` 
avast! Antivirus   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Spyware Terminator 2012   
 TuneUp Utilities 2014   
 TuneUp Utilities 2014 (de-DE)  
 TuneUp Utilities Language Pack (de-DE) 
 TuneUp Utilities 2014   
 Java 7 Update 71  
 Java version out of Date! 
 Adobe Flash Player 15.0.0.223  
 Adobe Reader XI  
 Mozilla Firefox (33.1) 
````````Process Check: objlist.exe by Laurent````````  
 AVAST Software Avast AvastSvc.exe  
 AVAST Software Avast avastui.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Alt 17.11.2014, 20:27   #23
M-K-D-B
/// TB-Ausbilder
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich




Hinweis: Registry Cleaner

Ich sehe, dass du sogenannte Registry Cleaner installiert hast.
In deinem Fall TuneUp Utilities 2014.

Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab.

Der Grund ist ganz einfach:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler.
Zerstörst du die Registry, zerstörst du Windows.

Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich.

Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über
Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
zu deinstallieren.






Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt 1
Ändere regelmäßig alle deine Passwörter, jetzt nach der Bereinigung ist ein idealer Zeitpunkt dafür!
  • Verwende für jede Anwendung und jeden Account ein anderes Passwort.
  • Ändere regelmäßig dein Passwort, vor allem bei Onlinebanking oder deinem Emailpostfach ist das sehr wichtig.
  • Speichere keine Passwörter auf deinem PC, gib diese nicht an Dritte weiter.
  • Ein sicheres Passwort besteht aus mindestens 8 Zeichen und beinhaltet Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Benutze keine Zahlen- oder Buchstabenkombinationen, ( zB 12345678, qwertzui) auch keine Zahlen oder Buchstabenmuster.
  • Verwende keine Passwörter die einen Bezug zu dir, deinem Wohnort, Familienmitglied oder Haustier (Geburtsdatum, Postleitzahl, Adresse, Name) haben.





Schritt 2
Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.







Schritt 3
Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.


Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti-Viren-Programm und zusätzlicher Schutz
  • Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist! Ein kostenloses Anti-Viren Programm, das wir empfehlen, wäre z. B. Avast! Free Antivirus oder Microsoft Security Essentials.
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt. Du kannst es zusätzlich zu deinem Anti-Viren Programm verwenden.
    Update das Tool und lasse es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • AdwCleaner
    Dieses Tool erkennt eine Vielzahl von Werbeprogrammen (Adware) und unerwünschten Programmen (PUPs).
    Starte das Tool einmal die Woche und lass es laufen. Sollte eine neue Version verfügbar sein, so wird dies angezeigt und du kannst dir die neueste Version direkt von der Herstellerseite auf den Desktop herunterladen. Auch dieses Programm kann parallel zu deinem Anti-Viren Programm verwendet werden.
  • SpywareBlaster
    Eine kurze Einführung findest du Hier


Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Mozilla Firefox
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzuzufügen reicht und dieser wird nicht mehr geladen.
    Es spart außerdem Downloadkapazität.


Performance
  • Halte dich fern von Registry Cleanern.
    Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link:
    Miekemoes Blogspot ( MVP )


Was du vermeiden solltest:
  • Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
  • Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..).
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.
  • Lade keine Software von Softonic oder Chip herunter, da diese Installer oft mit Adware oder unerünschter Software versehen sind!



Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 17.11.2014, 20:40   #24
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



ok ich werde die Schritte morgen noch nachgehen wenn ich vom nachtdienst heim komme. Jedoch eine Frage habe ich noch, ich habe ja zu Beginn schon Programme insalliert und verwendet, auch von dir zur Behebung empfohlene Tools. Welche Programme sollte ich lassen und welche sollte ich Deinstallieren (wenn ja einfach Deinstallieren über die Systemsteuerung oder einem Tool?)

Malwarebytes Anti-Malware
HijackThis
OTL
RogueKiller
adwcleaner
ccleaner
FRST64
TDSSKILLER
SecurityCheck
SystemLook_x64
Emsisoft Emergency Kit
ComboFix (hast du ja bereits erklärt mit unbenennen in uninstall.exe)

TuneUp (sollte ich also auch meiden, oder nur Finger weg vom RegistryCleaner?)

Möchte keine unnötigen Programme behalten die ich vielleicht nur für diese Behebung benötigt habe und somit das System von unnötigen Programmen sauber halten bzw. wenn erforderlich auch sauber entfernen (wenn einfaches deinstallieren nicht reichen sollte)

Das wäre noch meine letzte Bitte. Dann könnte ich das morgen auch noch machen.
Danke.

Alt 17.11.2014, 20:53   #25
M-K-D-B
/// TB-Ausbilder
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Zitat:
Zitat von RedMax88 Beitrag anzeigen
ok ich werde die Schritte morgen noch nachgehen wenn ich vom nachtdienst heim komme. Jedoch eine Frage habe ich noch, ich habe ja zu Beginn schon Programme insalliert und verwendet, auch von dir zur Behebung empfohlene Tools. Welche Programme sollte ich lassen und welche sollte ich Deinstallieren (wenn ja einfach Deinstallieren über die Systemsteuerung oder einem Tool?)

Malwarebytes Anti-Malware
HijackThis
OTL
RogueKiller
adwcleaner
ccleaner
FRST64
TDSSKILLER
SecurityCheck
SystemLook_x64
Emsisoft Emergency Kit
ComboFix (hast du ja bereits erklärt mit unbenennen in uninstall.exe)

TuneUp (sollte ich also auch meiden, oder nur Finger weg vom RegistryCleaner?)

Möchte keine unnötigen Programme behalten die ich vielleicht nur für diese Behebung benötigt habe und somit das System von unnötigen Programmen sauber halten bzw. wenn erforderlich auch sauber entfernen (wenn einfaches deinstallieren nicht reichen sollte)

Das wäre noch meine letzte Bitte. Dann könnte ich das morgen auch noch machen.
Danke.
Einfach wie beschrieben DelFix ausführen, das haut alles bis auf Emsisoft weg; bei Emsisoft Emergency Kit einfach den Ordner C:\eek löschen sowie die desktop-verknüpfung

TuneUp ist auch ein RegistryCleaner, weg damit... hab schon User gesehen, bei denen wegen sowas der Rechner nicht mehr startete...

Gib mir dann einfach morgen Bescheid.

Alt 18.11.2014, 07:22   #26
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



mir hat beim ComboFix uninstall der Antivirus dazwischen gepfuscht. dann hatte ich ihn deaktivieren müssen bevor ich auf ok (Hinweis Fenster) klicke. nun hab ich ComboFix noch immer auf dem Desktop, nur mit dem Namen uninstall. Bei doppelklick werde ich gefragt ob ich ihn installieren möchte. Kann ich in nun einfach löschen?

Nun DelFix ausgeführt.

Code:
ATTFilter
# DelFix v10.8 - Logfile created 18/11/2014 at 07:06:48
# Updated 29/07/2014 by Xplode
# Username : RedMax - REDMAX
# Operating System : Windows 7 Ultimate Service Pack 1 (64 bits)

~ Activating UAC ... OK

~ Removing disinfection tools ...

Deleted : C:\32788R22FWJFW
Deleted : C:\FRST
Deleted : C:\AdwCleaner
Deleted : C:\Users\RedMax\Desktop\FRST-OlderVersion
Deleted : C:\ComboFix.txt
Deleted : C:\TDSSKiller.3.0.0.41_15.11.2014_14.10.30_log.txt
Deleted : C:\TDSSKiller.3.0.0.41_15.11.2014_14.11.09_log.txt
Deleted : C:\Users\RedMax\Desktop\Addition.txt
Deleted : C:\Users\RedMax\Desktop\Fixlog.txt
Deleted : C:\Users\RedMax\Desktop\FRST.txt
Deleted : C:\Users\RedMax\Desktop\FRST64.exe
Deleted : C:\Users\RedMax\Desktop\SecurityCheck.exe
Deleted : C:\Users\RedMax\Desktop\SystemLook.txt
Deleted : C:\Users\RedMax\Desktop\SystemLook_x64.exe
Deleted : C:\Users\RedMax\Desktop\tdsskiller.exe
Deleted : C:\Users\RedMax\Downloads\adwcleaner_4.101.exe
Deleted : C:\Users\RedMax\Downloads\Extras.Txt
Deleted : C:\Users\RedMax\Downloads\HijackThis.exe
Deleted : C:\Users\RedMax\Downloads\hijackthis.log
Deleted : C:\Users\RedMax\Downloads\OTL.Txt
Deleted : C:\Users\RedMax\Downloads\OTL1.Txt
Deleted : C:\Users\RedMax\Downloads\OTL.exe
Deleted : C:\Users\RedMax\Downloads\RogueKillerX64.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\Swearware

~ Creating registry backup ... OK

~ Cleaning system restore ...

Deleted : RP #386 [Camtasia Studio 8 wird entfernt | 11/13/2014 23:08:36]
Deleted : RP #387 [Removed MAGIX Burn routines | 11/14/2014 12:31:54]
Deleted : RP #388 [Removed Overwolf | 11/14/2014 13:04:33]
Deleted : RP #389 [ComboFix created restore point | 11/18/2014 06:00:14]

New restore point created !

~ Resetting system settings ... OK

########## - EOF - ##########
         
Und wie beschrieben hab ich nun "Emsisoft Emergency Kit" Ordener alsauch Desktop Verknüpfung gelöscht.

Und TuneUp gerade deinstalliert (gibt es alternativen den PC von Datenmüll zu bereinigen?)

Nun installiert da von dir empfohlen:
AdwCleaner
Malwarebytes Anti-Malware (trotz DelFix noch vorhanden)
SpywareBlaster
NoScript für Firefox direkt aus Plugin Gallerie installiert

Also vorhanden ist noch:

SpywareTerminator
CCleaner
?deinstallieren?


Ich frage deshalb, damit ihc weiß welche Programm empfohlen werden zu behalten und welche zu deinstallieren.

Sry wenn ich langsam nerve, aber ich bin halt auch etwas neugierig.
Was hat DelFix jetzt ausser bereinigen mancher Tools bewirkt (da gab es ja diverse Optionen zum anhacken)?

Alt 18.11.2014, 13:16   #27
M-K-D-B
/// TB-Ausbilder
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Servus,


du nervst nicht.



Die Uninstall.exe von ComboFix kannst du löschen.


Alternative für Datenmüll: TFC


SpywareTerminator + CCleaner weg.


Hier steht, was DelFix so alles macht.



Noch Fragen?

Alt 18.11.2014, 17:25   #28
RedMax88
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



CCleaner weg wegen der Registry.
SpywareTerminator, warum? ist der nicht zuverlässig, schlecht oder ist das Programm so ein Kanidat bei welchem gerne maleware installiert werden könnte?

Ist jetzt alles unten.

Und die Alternative hat meine Frage zu temp. Daten bereinigen beantwortet.

Alt 19.11.2014, 09:28   #29
M-K-D-B
/// TB-Ausbilder
 
Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - Standard

Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich



Zitat:
Zitat von RedMax88 Beitrag anzeigen
SpywareTerminator, warum? ist der nicht zuverlässig, schlecht oder ist das Programm so ein Kanidat bei welchem gerne maleware installiert werden könnte?
SpywareTerminator lastet den Rechner raus, die Erkennung ist nicht gerade gut.





Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Antwort

Themen zu Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich
antivirus, c:\windows, ccleaner, empfehlen, fehlercode 0x5, fehlercode 0xc0000005, fehlercode 22, fehlercode windows, festplatte, folgen, licht, meldung, nichts, programme, prozess, roguekiller, steam, tablet, this device is disabled. (code 22), update, verbindung, virendatenbank, virustotal, win32, win32/toolbar.babylon.e, win32/toolbar.conduit, windows



Ähnliche Themen: Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich


  1. Avast meldet Problem "Android:Evo-gen [Susp]"
    Smartphone, Tablet & Handy Security - 20.09.2015 (3)
  2. Nach USB-Stick: Avast meldet blockieren der Websites disorderstatus.ru und diferentia.ru; Prozess windows\SysWOW64\msiexec
    Log-Analyse und Auswertung - 14.09.2015 (13)
  3. Avast meldet blockierte Infektionen in Prozess svchost.exe vom Typ "URL:Mal"
    Log-Analyse und Auswertung - 13.07.2015 (17)
  4. Avast blockiert wiederholt "Infektion" Win32:Evo-gen [Susp]
    Plagegeister aller Art und deren Bekämpfung - 05.02.2015 (5)
  5. Avast Meldung Win32:Evo-gen [susp]
    Log-Analyse und Auswertung - 30.01.2015 (15)
  6. Avast meldet bei Visual Studio einen Virus namens Win32.EvoGen [susp]
    Log-Analyse und Auswertung - 13.10.2014 (4)
  7. Avast findet ständig Win32:Evo-gen [Susp]
    Log-Analyse und Auswertung - 11.09.2014 (7)
  8. Windows XP Avast: Win32:Evo-gen [Susp]
    Log-Analyse und Auswertung - 27.08.2014 (24)
  9. Win32:Evo-gen (Susp) wenn ich ein bestimmtes Programm öffne meldet sich Avast
    Log-Analyse und Auswertung - 24.07.2014 (7)
  10. Avast Free Antivirus 2014 meldet Win32:Evo-gen [Susp] Programm GeForce Experience
    Plagegeister aller Art und deren Bekämpfung - 20.10.2013 (14)
  11. Win 8 (64bit): Avast meldet "FileRepMalware" & "Win32:evo-gen [Susp]"
    Plagegeister aller Art und deren Bekämpfung - 11.09.2013 (20)
  12. Zuerst avast Warnung wegen win32:evo-gen susp, dann hat Malwarebytes 2 infizierte Dateien gefunden
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (9)
  13. avast! Mail-Schutz meldet Win32:Evo-gen [Susp]
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (3)
  14. Avast meldet bösartige Website blockiert (URL:Mal) - Prozess: "svchost.exe
    Log-Analyse und Auswertung - 14.11.2012 (5)
  15. Avast findet Win32:BogEnt [Susp]
    Plagegeister aller Art und deren Bekämpfung - 24.10.2011 (11)

Zum Thema Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich - So Log ist da. Code: Alles auswählen Aufklappen ATTFilter SystemLook 30.07.11 by jpshortstuff Log created at 17:04 on 15/11/2014 by RedMax Administrator - Elevation successful ========== file ========== C:\Windows\SysWOW64\FirewallAPI.dll - - Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich...
Archiv
Du betrachtest: Avast! meldet Win32:Evo-gen[Susp] ORT: FirewallAPI.dll, Prozess: unterschiedlich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.