| |
| |||||||
Log-Analyse und Auswertung: Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FFWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
04.03.2015, 22:27
| #1 |
| |  Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Hallo, nachdem ich einige Beiträge hier im Forum gelesen habe, denke ich das ich genau richtig bin. Es ist für mich schon beeindruckend das die " Mitarbeiter" dieses Forums ehrenamtlich soviel Zeit investieren um anderen zu helfen. Nun würde ich das auch gerne in Anspruch nehmen. Wie der Titel schon sagt taucht mein Problem nur in FF auf! Mein System: Thinkpad T-60p; Windows 7 - 32bit; zeitweise habe ich noch 2 USB HDD´s und eine feste HDD an einem Mediaplayer im TV Schrank per W-Lan mit im Netzwerk. Weiter unten habe ich alles gepostet was in der Anleitung zur Vorbereitung hier im Forum steht. Aber vielleicht ist es gut einmal kurz den Werdegang des Problems zu schildern : - Das ganze begann am 27 Februar, Freitag. Ich wollte mein alten PDA zum Navi machen und habe mir zuerst ein wenig Kartenmaterial von www.openmtbmap.org/de/ runtergeladen. Dann noch "Garmin Basecamp" direkt von der Garmin Website. Es ist Freeware und dienst als Kartenviewer und man kann damit Karten im Garminformat auf sein GPS oder eben eine SD Karte spielen. Gemacht, getan und ging ohne Probleme. Dann brauchte ich allerdings noch einen Viewer der auf Windows Mobile 5.0 läuft. So laß ich das "Garmin Mobile XT" das beste dafür ist. Leider ist es schwierig einen sauberen Download zu finden, da die Software mittlerweile recht alt ist. Nun hab ich offensichtlich den Fehler gemacht und nach 20 min sucherei erstmal einen Download gestartet der mir auch ungefähr 8 weitere Programme / Malware installieren wollte. Das habe ich allerdings nur gemerkt weil ich "Expert Install" gewählt habe. Da kam dann die Liste aller Zusatzsoftware mit Haken im Kästchen. Hab alle abgewählt und auf Weiter geklickt. Nun wollte sich Opera installieren. Konnte man auch nicht abwählen. Auch nicht Abbrechen sondern nur auf weiter. Hab dann den PC ausgeschaltet und doch noch mal weitergesucht aber nix gefunden. Dann hab ich Opera einfach akzeptiert. Hat sich auch Installiert und blöderweise kam danach nix mehr von Garmin Mobile XT. Hab nur gemerkt das ab und zu die Eieruhr aufblinkte und hab den PC erst mal wieder runtergefahren. Dann Opera deinstalliert und noch 2 andere Programme die offensichtlich daher kommen, dann diesen dubiosen Installer gelöscht. Ab da veränderte sich einiges. - Zunächst erscheinten unten in der Taskleiste 2 rot hinterlegte Meldungen mit " X " das der Pfad zu irgeneiner Datei "......./ AppsData/....../Local" nicht nutzbar ist. Habe dann in C/User/****/AppsData/Local so einiges rausgelöscht was dort nicht hingehört, auch den Inhalt von Temp. Danach waren diese Meldungen erst mal weg - Dann, immer wenn ich FF genutzt habe, bimmelte der Kaspersky wie verrückt. Immer in so 3er Salven in gewissen Intervallen, ohne Ende. Es kam die Meldung : Schädlicher Link geblockt ".....htmlverifier.com...." Irgendwann hat das allerdings aufgehört. Und dann kamen plötzlich diese Werbebanner. 3 stück!!. Habe mich gefragt warum der Kaspersky nicht weitergebimmelt hat....keine Ahnung. Habe dann in Einstellungen>Addons>Erweitrungen gesehen das eine Kaspersky Erweiterungen, nämlich" Modul zur Linkuntersuchung 4.0.10.15" den Vermerk trägt " nicht kompatibel mit FF 36.0". - Die Werbebanner tragen den Vermerk " by similar products" in einer Ecke. - In meine E-mails sind jetzt diverse Wörter in blauer Schrift und unterstrichen. Z.B. das Wort " Natürlich" oder " Gesendet" u.s.w. Scheinbar willkürlich und ohne Bedeutung. Wenn ich mit dem Cursor draufgehe öffnet sich ein Fenster mit dem Titel:" Mobile: Natürlich - Click here for Natürlich and win Free Prizes". In einer Ecke unten steht " cpop.tlbsearch.com ". Auch auf Eurer Website, in der Anleitung zur Vorbereitung auf die Anmeldung, lauter Begriffe blau als Link zu dem sich immer dieses Fenster öffnet. - Es öffnet sich auch ab und zu ein neuer Reiter von selbst von " PC Speed Maximiser" und von " reimageplus.ocm". - Habe bereits AdwCleaner laufen lassen, bevor ich das Trojanerboard gefunden habe und auchTFC. Gestern einen kompletten Scan mit dem Kaspersky. Aber der hat keine Bedrohungen gefunden. Allerdings gemeldet das er 13 Objekte bearbeitet und gelöscht hat. Das waren wieder diese " htmlverifier.com" Dinger. Die kamen gestern auch mal wieder. Allerdings legt Kaspersky offensichtlich keine Logfiles an, das wird alles immer gleich gelöscht..... So, das wars bisher. Und wenn ich IE benütze tritt nichts von all dem auf. Anbei jetzt noch die Log files der verschiedenen Prüfdurchläufe: AdwCleaner: Code:
ATTFilter # AdwCleaner v4.108 - Bericht erstellt am 27/02/2015 um 18:35:39
# Aktualisiert 17/01/2015 von Xplode
# Database : 2015-01-13.2 [Local]
# Betriebssystem : Windows 7 Professional (32 bits)
# Benutzername : Timo - T-60P
# Gestartet von : C:\Down\Downloads\adwcleaner_4.108.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gelöscht : C:\ProgramData\80e714adaf3f4fa1a656d59bc0ba247b
Ordner Gelöscht : C:\ProgramData\d409f1f712484f629810e00e915e2711
***** [ Tasks ] *****
Task Gelöscht : Installer_ytd
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{533403E2-6E21-4615-9E28-43F4E97E977B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0FCE4F01-64EC-42F1-83E1-1E08D38605D2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1A2A195A-A0F9-4006-AF02-3F05EEFDE792}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3AE76A17-C344-4A83-81CE-65EFEE41E42D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{4C0A69B0-CE97-42B7-86FC-08280C99C74D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{4E9EB4D5-C929-4005-AC62-1856B1DA5A24}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8FAF962C-3EDE-405E-B1D0-62B8235C6044}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C1F5E799-B218-4C32-B189-3C389BA140BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F60C9408-3110-4C98-A139-ABE1EE1111DD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage
***** [ Browser ] *****
-\\ Internet Explorer v9.0.8112.16506
-\\ Mozilla Firefox v35.0.1 (x86 de)
-\\ Opera v0.0.0.0
*************************
AdwCleaner[R0].txt - [9526 octets] - [25/10/2014 17:06:30]
AdwCleaner[R1].txt - [1462 octets] - [22/01/2015 16:33:49]
AdwCleaner[R2].txt - [2109 octets] - [27/02/2015 18:33:20]
AdwCleaner[S0].txt - [9115 octets] - [25/10/2014 17:09:25]
AdwCleaner[S1].txt - [1957 octets] - [22/01/2015 16:38:58]
AdwCleaner[S2].txt - [2030 octets] - [27/02/2015 18:35:39]
########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [2090 octets] ##########
Code:
ATTFilter # AdwCleaner v4.111 - Bericht erstellt 02/03/2015 um 22:00:58
# Aktualisiert 18/02/2015 von Xplode
# Datenbank : 2015-03-02.1 [Server]
# Betriebssystem : Windows 7 Professional (x86)
# Benutzername : Timo - T-60P
# Gestarted von : C:\Down\Downloads\AdwCleaner_4.111.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gelöscht : C:\Program Files\download Manager
***** [ Geplante Tasks ] *****
Task Gelöscht : Inst_Rep
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
***** [ Internetbrowser ] *****
-\\ Internet Explorer v9.0.8112.16506
-\\ Mozilla Firefox v35.0.1 (x86 de)
*************************
AdwCleaner[R0].txt - [9526 Bytes] - [25/10/2014 17:06:30]
AdwCleaner[R1].txt - [1462 Bytes] - [22/01/2015 16:33:49]
AdwCleaner[R2].txt - [2109 Bytes] - [27/02/2015 18:33:20]
AdwCleaner[R3].txt - [1200 Bytes] - [02/03/2015 21:56:21]
AdwCleaner[S0].txt - [9115 Bytes] - [25/10/2014 17:09:25]
AdwCleaner[S1].txt - [1957 Bytes] - [22/01/2015 16:38:58]
AdwCleaner[S2].txt - [2170 Bytes] - [27/02/2015 18:35:39]
AdwCleaner[S3].txt - [1123 Bytes] - [02/03/2015 22:00:58]
########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1182 Bytes] ##########
Code:
ATTFilter # AdwCleaner v4.111 - Bericht erstellt 02/03/2015 um 23:56:07
# Aktualisiert 18/02/2015 von Xplode
# Datenbank : 2015-03-02.1 [Server]
# Betriebssystem : Windows 7 Professional (x86)
# Benutzername : Timo - T-60P
# Gestarted von : C:\Users\Timo\Desktop\Anwendungen\Aufräumen\AdwCleaner_4.111.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
***** [ Geplante Tasks ] *****
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
***** [ Internetbrowser ] *****
-\\ Internet Explorer v9.0.8112.16506
-\\ Mozilla Firefox v36.0 (x86 de)
*************************
AdwCleaner[R0].txt - [9526 Bytes] - [25/10/2014 17:06:30]
AdwCleaner[R1].txt - [1462 Bytes] - [22/01/2015 16:33:49]
AdwCleaner[R2].txt - [2109 Bytes] - [27/02/2015 18:33:20]
AdwCleaner[R3].txt - [1200 Bytes] - [02/03/2015 21:56:21]
AdwCleaner[R4].txt - [1263 Bytes] - [02/03/2015 23:54:02]
AdwCleaner[S0].txt - [9115 Bytes] - [25/10/2014 17:09:25]
AdwCleaner[S1].txt - [1957 Bytes] - [22/01/2015 16:38:58]
AdwCleaner[S2].txt - [2170 Bytes] - [27/02/2015 18:35:39]
AdwCleaner[S3].txt - [1262 Bytes] - [02/03/2015 22:00:58]
AdwCleaner[S4].txt - [1186 Bytes] - [02/03/2015 23:56:07]
########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [1245 Bytes] ##########
Von Defogger: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:41 on 03/03/2015 (Timo)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 02-03-2015
Ran by Timo (administrator) on T-60P on 03-03-2015 21:45:33
Running from C:\Down\Downloads
Loaded Profiles: Timo (Available profiles: Timo)
Platform: Microsoft Windows 7 Professional (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 9 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Processes (Whitelisted) =================
(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)
(Lenovo.) C:\Windows\System32\ibmpmsvc.exe
(ATI Technologies Inc.) C:\Windows\System32\Ati2evxx.exe
(ATI Technologies Inc.) C:\Windows\System32\Ati2evxx.exe
(Authentec Inc.) C:\Program Files\ThinkVantage Fingerprint Software\upeksvr.exe
(Lenovo) C:\Program Files\Lenovo\Access Connections\AcPrfMgrSvc.exe
(Andrea Electronics Corporation) C:\Windows\System32\AEADISRV.EXE
(Kaspersky Lab ZAO) C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\avp.exe
(Broadcom Corporation.) C:\Program Files\ThinkPad\Bluetooth Software\btwdins.exe
(Intel(R) Corporation) C:\Program Files\Intel\WiFi\bin\EvtEng.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
(pdfforge GmbH) C:\Program Files\PDF Architect 2\creator-ws.exe
(Intel(R) Corporation) C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe
(Conexant Systems, Inc.) C:\Windows\System32\drivers\XAudio.exe
(Lenovo) C:\Program Files\Lenovo\Access Connections\AcSvc.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe
(Microsoft Corporation) C:\Windows\System32\wbem\unsecapp.exe
(Kaspersky Lab ZAO) C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\avpui.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
(Lenovo.) C:\Windows\System32\TpShocks.exe
() C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Analog Devices, Inc.) C:\Program Files\Analog Devices\Core\smax4pnp.exe
(Safer-Networking Ltd.) C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe
(Lenovo) C:\Program Files\Lenovo\Access Connections\SvcGuiHlpr.exe
(Nokia) C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
(Broadcom Corporation.) C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe
() C:\Program Files\Microsoft Office\Office\OSA.EXE
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Nokia) C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
(Lenovo Group Limited) C:\Program Files\ThinkPad\Utilities\SCHTASK.EXE
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclIrSrv.exe
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
(Nokia) C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Kaspersky Lab ZAO) C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\klwtblfs.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_16_0_0_305.exe
(Adobe Systems, Inc.) C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_16_0_0_305.exe
==================== Registry (Whitelisted) ==================
(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)
HKLM\...\Run: [PSQLLauncher] => C:\Program Files\ThinkVantage Fingerprint Software\launcher.exe [56104 2013-03-05] (Authentec Inc.)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2379504 2013-05-29] (Synaptics Incorporated)
HKLM\...\Run: [IAAnotif] => C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-08-07] (Intel Corporation)
HKLM\...\Run: [AcWin7Hlpr] => C:\Program Files\Lenovo\Access Connections\AcTBenabler.exe [63784 2013-03-18] (Lenovo)
HKLM\...\Run: [ATICustomerCare] => "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
HKLM\...\Run: [] => [X]
HKLM\...\Run: [TpShocks] => C:\Windows\system32\TpShocks.exe [338216 2013-06-20] (Lenovo.)
HKLM\...\Run: [CDAServer] => C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe [344064 2012-02-20] ()
HKLM\...\Run: [PWMTRV] => rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor
HKLM\...\Run: [SoundMAXPnP] => C:\Program Files\Analog Devices\Core\smax4pnp.exe [1314816 2009-05-18] (Analog Devices, Inc.)
HKLM\...\Run: [SDTray] => C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
Winlogon\Notify\psfus: C:\Program Files\ThinkVantage Fingerprint Software\psqlpwd.dll (Authentec Inc.)
Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X]
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\...\Run: [PC Suite Tray] => C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe [1479680 2010-05-14] (Nokia)
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\...\Run: [Spybot-S&D Cleaning] => C:\Program Files\Spybot - Search & Destroy 2\SDCleaner.exe [4566952 2014-06-24] (Safer-Networking Ltd.)
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\Ribbons.scr [220672 2009-07-14] (Microsoft Corporation)
Lsa: [Notification Packages] scecli C:\Program Files\ThinkVantage Fingerprint Software\psqlpwd.dll ACGina
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.exe.lnk
ShortcutTarget: Adobe Gamma Loader.exe.lnk -> C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk
ShortcutTarget: Bluetooth.lnk -> C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft-Indexerstellung.lnk
ShortcutTarget: Microsoft-Indexerstellung.lnk -> C:\Program Files\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Office-Start.lnk
ShortcutTarget: Office-Start.lnk -> C:\Program Files\Microsoft Office\Office\OSA.EXE ()
BootExecute: autocheck autochk * sdnclean.exe
==================== Internet (Whitelisted) ====================
(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Content Blocker Plugin -> {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\ContentBlocker\ie_content_blocker_plugin.dll (Kaspersky Lab ZAO)
BHO: PDF Architect Helper -> {691B33B0-B86E-47F3-81C7-56E4FE3B929C} -> C:\Program Files\PDF Architect 2\creator-ie-helper.dll (pdfforge GmbH)
BHO: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll (Kaspersky Lab ZAO)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_31\bin\ssv.dll (Oracle Corporation)
BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\OnlineBanking\online_banking_bho.dll (Kaspersky Lab ZAO)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_31\bin\jp2ssv.dll (Oracle Corporation)
BHO: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\IEExt\UrlAdvisor\klwtbbho.dll (Kaspersky Lab ZAO)
Toolbar: HKLM - PDF Architect Toolbar - {DEEB13D7-CEA9-45FB-B77C-E039BEC85221} - C:\Program Files\PDF Architect 2\creator-ie-plugin.dll (pdfforge GmbH)
DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} hxxp://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1378996663396
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
FireFox:
========
FF ProfilePath: C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\fjv69laf.default-1414252829371
FF Homepage: hxxp://ghislainjm.com/
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_16_0_0_305.dll ()
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF Plugin: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.31.2 -> C:\Program Files\Java\jre1.8.0_31\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @kaspersky.com/content_blocker -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com ()
FF Plugin: @kaspersky.com/online_banking -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com ()
FF Plugin: @kaspersky.com/virtual_keyboard -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com ()
FF Plugin: @videolan.org/vlc,version=2.0.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Extension: Zoom It - C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\fjv69laf.default-1414252829371\Extensions\{3323b12d-dd39-d9e9-f79f-9152e2715cb5} [2015-02-28]
FF Extension: Zoom It - C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\fjv69laf.default-1414252829371\Extensions\{49b597e2-3334-f370-d076-ccfccb0f6bd6} [2015-03-03]
FF HKLM\...\Firefox\Extensions: [content_blocker@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com
FF Extension: Ngăn chặn trang web nguy hiểm - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [virtual_keyboard@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com
FF Extension: Bàn phím ảo - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\url_advisor@kaspersky.com
FF Extension: Công cụ kiểm tra liên kết của Kaspersky - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\url_advisor@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [anti_banner@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\anti_banner@kaspersky.com
FF Extension: Chặn quảng cáo - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\anti_banner@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [online_banking@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com
FF Extension: An toàn giao dịch tài chính - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com [2014-09-05]
FF HKLM\...\Firefox\Extensions: [pdf_architect_2_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 2\resources\pdfarchitect2firefoxextension
FF Extension: PDF Architect 2 Creator - C:\Program Files\PDF Architect 2\resources\pdfarchitect2firefoxextension [2015-01-11]
FF HKU\S-1-5-21-641229778-3078360545-1551785825-1001\...\Firefox\Extensions: [cliqz@cliqz.com] - C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\hzi9xzhi.default\extensions\cliqz@cliqz.com
Chrome:
=======
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
========================== Services (Whitelisted) =================
(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)
R2 AcPrfMgrSvc; C:\Program Files\Lenovo\Access Connections\AcPrfMgrSvc.exe [133416 2013-03-18] (Lenovo)
R2 AcSvc; C:\Program Files\Lenovo\Access Connections\AcSvc.exe [272680 2013-03-18] (Lenovo)
R2 AVP15.0.0; C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\avp.exe [233552 2014-04-20] (Kaspersky Lab ZAO)
S3 IDriverT; C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe [69632 2005-11-14] (Macrovision Corporation) [File not signed]
S3 PDF Architect 2; C:\Program Files\PDF Architect 2\ws.exe [1771560 2014-10-10] (pdfforge GmbH)
R2 PDF Architect 2 Creator; C:\Program Files\PDF Architect 2\creator-ws.exe [738856 2014-10-10] (pdfforge GmbH)
S3 pdfforge CrashHandler; C:\Program Files\PDF Architect 2\crash-handler-ws.exe [861736 2014-10-10] (pdfforge GmbH)
S3 PwmEWSvc; C:\Program Files\ThinkPad\Utilities\PWMEWSVC.EXE [244800 2012-02-28] (Lenovo Group Limited)
R2 SDScannerService; C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.)
R3 ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [615936 2010-06-14] (Nokia) [File not signed]
S3 SUService; C:\Program Files\Lenovo\System Update\SUService.exe [49648 2015-01-15] ()
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2009-07-14] (Microsoft Corporation)
S2 dihitily; C:\Users\Timo\AppData\Roaming\81369B29-1424963175-CB11-9F3C-CE7475834B8B\nsaCFF5.tmpfs [X]
==================== Drivers (Whitelisted) ====================
(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)
R0 kl1; C:\Windows\System32\DRIVERS\kl1.sys [135264 2014-02-20] (Kaspersky Lab ZAO)
R3 klflt; C:\Windows\System32\DRIVERS\klflt.sys [112136 2014-10-09] (Kaspersky Lab ZAO)
R1 klhk; C:\Windows\System32\DRIVERS\klhk.sys [34400 2014-04-10] (Kaspersky Lab ZAO)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [644808 2014-10-09] (Kaspersky Lab ZAO)
R1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [25696 2014-02-25] (Kaspersky Lab ZAO)
R3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [24672 2014-03-28] (Kaspersky Lab ZAO)
R3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [25696 2013-08-08] (Kaspersky Lab ZAO)
R1 klpd; C:\Windows\System32\DRIVERS\klpd.sys [14432 2013-04-12] (Kaspersky Lab ZAO)
R1 kltdi; C:\Windows\System32\DRIVERS\kltdi.sys [45024 2014-03-25] (Kaspersky Lab ZAO)
R1 kneps; C:\Windows\System32\DRIVERS\kneps.sys [145888 2014-03-26] (Kaspersky Lab ZAO)
S3 MSIRCOMM; C:\Windows\System32\DRIVERS\MSIRCOMM.sys [24064 2009-07-14] (Microsoft Corporation)
R2 smihlp; C:\Program Files\ThinkVantage Fingerprint Software\smihlp.sys [11976 2011-05-30] (Authentec Inc.)
R2 SSPORT; C:\Windows\system32\Drivers\SSPORT.sys [5120 2008-01-24] (Samsung Electronics) [File not signed]
S3 subvgaproduct; C:\Windows\System32\DRIVERS\subvga.sys [4608 2014-10-07] (Windows (R) Win 7 DDK provider)
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
U5 VWiFiFlt; C:\Windows\System32\Drivers\VWiFiFlt.sys [48128 2009-07-14] (Microsoft Corporation)
==================== NetSvcs (Whitelisted) ===================
(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)
==================== One Month Created Files and Folders ========
(If an entry is included in the fixlist, the file\folder will be moved.)
2015-03-03 21:45 - 2015-03-03 21:45 - 00000000 ____D () C:\FRST
2015-03-03 21:41 - 2015-03-03 21:41 - 00000000 _____ () C:\Users\Timo\defogger_reenable
2015-03-03 19:05 - 2015-03-03 19:05 - 00000000 ____D () C:\Windows\system32\appmgmt
2015-03-02 23:15 - 2015-03-03 20:38 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service
2015-03-02 23:15 - 2015-03-02 23:15 - 00001117 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
2015-03-02 21:36 - 2015-03-02 23:47 - 00114904 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-03-02 21:28 - 2015-03-02 21:28 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware
2015-03-02 21:28 - 2015-03-02 21:28 - 00000000 ____D () C:\Program Files\ Malwarebytes Anti-Malware
2015-03-02 21:28 - 2014-11-21 06:14 - 00075480 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-03-02 21:28 - 2014-11-21 06:14 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-03-02 21:28 - 2014-11-21 06:14 - 00023256 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2015-02-27 18:23 - 2015-03-03 20:40 - 00000000 ____D () C:\Users\Timo\AppData\Local\VirtualStore
2015-02-27 17:55 - 2015-02-27 17:55 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\clean2PC
2015-02-27 10:47 - 2015-02-27 11:00 - 00000000 ____D () C:\Users\Timo\AppData\Local\Garmin
2015-02-27 10:47 - 2015-02-27 10:47 - 00000000 ____D () C:\Users\Timo\AppData\Local\GARMIN_Corp
2015-02-27 10:47 - 2015-02-27 10:47 - 00000000 ____D () C:\ProgramData\Garmin
2015-02-27 10:46 - 2015-02-27 10:46 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Garmin
2015-02-27 10:46 - 2015-02-27 10:46 - 00000000 ____D () C:\Program Files\Garmin
2015-02-27 10:31 - 2015-02-27 11:00 - 00000000 ____D () C:\Users\Timo\AppData\Roaming\Garmin
2015-02-27 10:28 - 2015-02-27 10:30 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Openmtbmap
2015-02-27 10:28 - 2015-02-27 10:28 - 00000000 ____D () C:\Garmin
2015-02-27 09:41 - 2015-02-27 09:41 - 00000000 ____D () C:\Program Files\Common Files\Java
2015-02-26 15:10 - 2015-02-24 17:05 - 00318784 _____ (Gambali OEM Software) C:\Windows\system32\Gambali.dll
2015-02-26 15:08 - 2015-02-26 15:08 - 00000000 ___HD () C:\Users\Timo\AppData\Local\CrashRpt
2015-02-17 19:57 - 2015-03-03 20:38 - 00000000 ____D () C:\Program Files\Mozilla Firefox
2015-02-13 17:53 - 2015-02-13 17:53 - 00000000 ____D () C:\ProgramData\Adobe
==================== One Month Modified Files and Folders =======
(If an entry is included in the fixlist, the file\folder will be moved.)
2015-03-03 21:41 - 2013-07-12 15:56 - 00000000 ___HD () C:\Users\Timo
2015-03-03 21:36 - 2013-09-13 14:10 - 00000000 ____D () C:\Users\Timo\Desktop\Aktuelles Gedöns
2015-03-03 21:17 - 2014-12-11 23:08 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-03-03 20:59 - 2013-09-13 10:46 - 00000000 ____D () C:\ProgramData\Kaspersky Lab
2015-03-03 20:49 - 2013-07-12 15:56 - 01652295 _____ () C:\Windows\WindowsUpdate.log
2015-03-03 20:32 - 2013-07-12 15:57 - 01618320 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-03-03 20:32 - 2009-07-14 05:34 - 00019488 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-03-03 20:32 - 2009-07-14 05:34 - 00019488 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-03-03 20:25 - 2009-07-14 05:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-03-03 20:25 - 2009-07-14 05:39 - 00145641 _____ () C:\Windows\setupact.log
2015-03-02 23:56 - 2014-10-25 17:06 - 00000000 ____D () C:\AdwCleaner
2015-03-02 23:07 - 2013-08-08 09:44 - 00078272 _____ () C:\Windows\PFRO.log
2015-03-02 21:50 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\Resources
2015-03-02 20:22 - 2009-07-14 05:53 - 00032632 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2015-02-27 18:19 - 2013-07-12 15:57 - 00001409 _____ () C:\Users\Timo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2015-02-27 12:49 - 2013-08-08 09:13 - 00000000 ____D () C:\Users\Timo\AppData\Roaming\vlc
2015-02-27 12:12 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\Microsoft.NET
2015-02-27 10:46 - 2013-08-07 21:17 - 00000000 ____D () C:\Program Files\DIFX
2015-02-27 10:35 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\de-DE
2015-02-27 09:42 - 2014-10-31 15:03 - 00000000 ____D () C:\ProgramData\Oracle
2015-02-27 09:42 - 2014-10-24 21:51 - 00000000 ____D () C:\Program Files\Java
2015-02-27 09:41 - 2014-10-31 15:00 - 00272296 _____ (Oracle Corporation) C:\Windows\system32\javaws.exe
2015-02-27 09:41 - 2014-10-31 15:00 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2015-02-27 09:41 - 2014-10-24 21:51 - 00176552 _____ (Oracle Corporation) C:\Windows\system32\javaw.exe
2015-02-27 09:41 - 2014-10-24 21:51 - 00176552 _____ (Oracle Corporation) C:\Windows\system32\java.exe
2015-02-27 09:41 - 2014-10-24 21:51 - 00096680 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2015-02-26 18:44 - 2014-09-25 16:31 - 00262144 _____ () C:\Windows\system32\config\elam
2015-02-17 07:54 - 2014-07-03 14:25 - 00000000 ____D () C:\Program Files\Adobe
2015-02-16 17:30 - 2013-08-08 07:32 - 00000000 ____D () C:\ProgramData\Lenovo
2015-02-16 17:30 - 2013-08-07 21:19 - 00000000 ___HD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo ThinkVantage Tools
2015-02-16 17:30 - 2013-08-07 21:13 - 00000000 ____D () C:\Program Files\Lenovo
2015-02-13 17:54 - 2013-09-17 22:23 - 00000000 ___HD () C:\Users\Timo\AppData\Local\Adobe
2015-02-13 17:53 - 2013-09-17 22:24 - 00000000 ____D () C:\Users\Timo\AppData\Roaming\Adobe
2015-02-13 13:35 - 2014-07-02 16:28 - 00000000 ____D () C:\ICONS
2015-02-04 22:17 - 2013-09-17 22:24 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2015-02-04 22:17 - 2013-09-17 22:24 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
Some content of TEMP:
====================
C:\Users\Timo\AppData\Local\Temp\Quarantine.exe
C:\Users\Timo\AppData\Local\Temp\sqlite3.dll
==================== Bamital & volsnap Check =================
(There is no automatic fix for files that do not pass verification.)
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed
LastRegBack: 2015-02-25 19:31
==================== End Of Log ============================
FRST Addition: Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x86) Version: 02-03-2015
Ran by Timo at 2015-03-03 21:46:06
Running from C:\Down\Downloads
Boot Mode: Normal
==========================================================
==================== Security Center ========================
(If an entry is included in the fixlist, it will be removed.)
AV: Kaspersky Internet Security (Enabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886}
AS: Kaspersky Internet Security (Enabled - Up to date) {ACF8980C-0107-DEC0-3FF3-1313EF89023B}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Spybot - Search and Destroy (Enabled - Out of date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
FW: Kaspersky Internet Security (Enabled) {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD}
==================== Installed Programs ======================
(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)
4K Video Downloader 3.4 (HKLM\...\4K Video Downloader_is1) (Version: 3.4.4.1500 - Open Media LLC)
Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 16.0.0.305 - Adobe Systems Incorporated)
Adobe Photoshop 6.0 (HKLM\...\Adobe Photoshop 6.0) (Version: 6.0 - Adobe Systems, Inc.)
ATI Catalyst Install Manager (HKLM\...\{C5A56577-49B4-331E-55DC-7143AFFAD108}) (Version: 3.0.795.0 - ATI Technologies, Inc.)
ATI Catalyst Registration (Version: 3.00.0000 - ATI Technologies Inc.) Hidden
Audiograbber 1.83 SE (HKLM\...\Audiograbber) (Version: 1.83 SE - Audiograbber)
Audiograbber MP3-Plugin (HKLM\...\Audiograbber-Lame) (Version: 1.0 - AG)
BlueGriffon version 1.5.2 (HKLM\...\{A9015334-10BE-4D64-A776-203336EFE806}_is1) (Version: 1.5.2 - Disruptive Innovations SAS)
Common Desktop Agent (Version: 1.62.0 - OEM) Hidden
Dienstprogramm "ThinkPad UltraNav" (HKLM\...\{17CBC505-D1AE-459D-B445-3D2000A85842}) (Version: 2.13.0 - Lenovo)
EZCast (HKLM\...\{74CECDD9-4B8E-4AE3-9571-8070A17F3C34}) (Version: 1.2.0.1 - Actions-Micro)
Foxit Reader (HKLM\...\Foxit Reader_is1) (Version: 6.0.6.722 - Foxit Corporation)
Garmin BaseCamp (HKLM\...\{31A67F6C-D79D-47B9-9F0B-13C0FCF3C3A8}) (Version: 4.4.6 - Garmin Ltd or its subsidiaries)
Garmin USB Drivers (HKLM\...\{ABA5E381-EC46-425C-86C5-5CD15BBFB4BF}) (Version: 2.3.1.0 - Garmin Ltd or its subsidiaries)
GPL Ghostscript (HKLM\...\GPL Ghostscript 9.09) (Version: 9.09 - Artifex Software Inc.)
Intel(R) PROSet/Wireless WiFi-Software (HKLM\...\{D61E4101-9E15-4D0E-ABD1-1ABD36B43330}) (Version: 14.03.0000 - Intel Corporation)
Intel® Matrix Storage Manager (HKLM\...\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}) (Version: - Intel Corporation)
IrfanView (remove only) (HKLM\...\IrfanView) (Version: 4.37 - Irfan Skiljan)
Java 8 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)
Kaspersky Internet Security (HKLM\...\InstallWIX_{653C1B5A-3287-47B1-8613-0745D4E771C4}) (Version: 15.0.0.463 - Kaspersky Lab)
Kaspersky Internet Security (Version: 15.0.0.463 - Kaspersky Lab) Hidden
Lenovo Patch Utility (Version: 1.4.0.4 - Lenovo Group Limited) Hidden
Lenovo Power Management Driver (HKLM\...\Power Management Driver) (Version: 1.67.04.04 - )
Lenovo System Interface Driver (HKLM\...\LENOVO.SMIIF) (Version: 1.05 - )
Lenovo System Update (HKLM\...\{25C64847-B900-48AD-A164-1B4F9B774650}) (Version: 5.06.0027 - Lenovo)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
MediaInfo 0.7.64 (HKLM\...\MediaInfo) (Version: 0.7.64 - MediaArea.net)
Metric Collection SDK (Version: 1.1.0005.00 - Lenovo Group Limited) Hidden
Microsoft .NET Framework 4.5 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft .NET Framework 4.5 DEU Language Pack (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50709 - Microsoft Corporation)
Microsoft Office 97, Professional Edition (HKLM\...\Office8.0) (Version: - )
Microsoft PowerPoint Viewer (HKLM\...\{95140000-00AF-0407-0000-0000000FF1CE}) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (HKLM\...\{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}) (Version: 9.0.21022 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Mozilla Firefox 30.0 (x86 de) (HKLM\...\Mozilla Firefox 30.0 (x86 de)) (Version: 30.0 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 30.0 - Mozilla)
Mp3tag v2.61a (HKLM\...\Mp3tag) (Version: v2.61a - Florian Heidenreich)
MSVC80_x86_v2 (Version: 1.0.3.0 - Nokia) Hidden
Nokia Connectivity Cable Driver (HKLM\...\{1B9B5B3B-28E7-4E59-A80D-D670AA984514}) (Version: 7.1.29.0 - Nokia)
Nokia PC Suite (HKLM\...\Nokia PC Suite) (Version: 7.1.51.0 - Nokia)
Nokia PC Suite (Version: 7.1.51.0 - Nokia) Hidden
PC Connectivity Solution (HKLM\...\{089DD780-DB3F-4CDB-A0C2-111360247298}) (Version: 10.24.0.0 - Nokia)
PDF Architect 2 (HKLM\...\PDF Architect 2) (Version: 2.0.51.17865 - pdfforge GmbH)
PDF Architect 2 Create Module (Version: 2.1.6.19758 - pdfforge GmbH) Hidden
PDF Architect 2 Edit Module (Version: 2.1.6.19758 - pdfforge GmbH) Hidden
PDF Architect 2 View Module (Version: 2.1.6.19758 - pdfforge GmbH) Hidden
PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.0.1 - pdfforge)
Samsung CLP-680 Series (HKLM\...\Samsung CLP-680 Series) (Version: 1.01 (01.05.2012) - Samsung Electronics Co., Ltd.)
Samsung Easy Printer Manager (HKLM\...\Samsung Easy Printer Manager) (Version: 1.02.45.01(30.04.2012) - Samsung Electronics Co., Ltd.)
Samsung Printer Live Update (HKLM\...\Samsung Printer Live Update) (Version: 1.01.00.04 - Samsung Electronics Co., Ltd.)
Samsung SCX-4200 Series (HKLM\...\Samsung SCX-4200 Series) (Version: - Samsung Electronics CO.,LTD)
Shutter (HKLM\...\Shutter_is1) (Version: 3.6 - Denis Kozlov)
SIGMA Photo Pro 3 (HKLM\...\{A75CC176-E24A-4FFE-97EF-1D3C27C63AFF}) (Version: - SIGMA)
SILKYPIX Developer Studio 3.0 LE (HKLM\...\InstallShield_{7F3487F5-E4FA-4A28-8196-6C9F785BC638}) (Version: 3 - Ichikawa Soft Laboratory)
SILKYPIX Developer Studio 3.0 LE (Version: 3 - Ichikawa Soft Laboratory) Hidden
Spybot - Search & Destroy (HKLM\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.4.40 - Safer-Networking Ltd.)
StreamTransport version: 1.1.1.1 (HKLM\...\{FA0BBB87-91A1-4BFD-9005-EB058BBA0E14}_is1) (Version: - )
The Lord of the Rings FREE Trial (Version: 1.00.0000 - ATI Technologies Inc.) Hidden
ThinkPad Bluetooth with Enhanced Data Rate Software (HKLM\...\{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}) (Version: 6.2.1.3100 - Broadcom Corporation)
ThinkPad Energie-Manager (HKLM\...\{DAC01CEE-5BAE-42D5-81FC-B687E84E8405}) (Version: 3.67 - )
ThinkPad FullScreen Magnifier (HKLM\...\ThinkPad FullScreen Magnifier) (Version: 2.41 - )
ThinkPad Modem (HKLM\...\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_10140588) (Version: 7.62.00 - )
ThinkPad UltraNav Driver (HKLM\...\SynTPDeinstKey) (Version: 16.2.19.9 - )
ThinkVantage Access Connections (HKLM\...\{8E537894-A559-4D60-B3CB-F4485E3D24E3}) (Version: 6.01 - Lenovo)
ThinkVantage Fingerprint Software (HKLM\...\{F58DA859-016E-492D-A588-317D9BB28002}) (Version: 5.9.9.7282 - Authentec Inc.)
ThinkVantage System für aktiven Festplattenschutz (HKLM\...\{46A84694-59EC-48F0-964C-7E76E9F8A2ED}) (Version: 1.77.0.26 - Lenovo)
VLC media player 2.0.8 (HKLM\...\VLC media player) (Version: 2.0.8 - VideoLAN)
Watchtower Library 2014 - Deutsch (HKLM\...\{4C49803E-1D22-40B5-B483-02F7E1E09E1C}) (Version: 16.0 - Watchtower Bible and Tract Society of Pennsylvania, Inc.)
Windows Driver Package - Broadcom (BTHUSB) Bluetooth (04/08/2010 6.3.5.430) (HKLM\...\2004BB9EB6CEA02846881BEF1F51C11F7A90C9D6) (Version: 04/08/2010 6.3.5.430 - Broadcom)
Windows Driver Package - Broadcom HIDClass (07/28/2009 6.2.0.9800) (HKLM\...\BF20603967CFDCB2BBF91950E8A56DFBC5C833FE) (Version: 07/28/2009 6.2.0.9800 - Broadcom)
Windows Driver Package - Garmin (grmnusb) GARMIN Devices (04/19/2012 2.3.1.0) (HKLM\...\98157A226B40B173301B0F53C8E98C47805D5152) (Version: 04/19/2012 2.3.1.0 - Garmin)
Windows-Treiberpaket - Nokia Modem (06/09/2010 4.5) (HKLM\...\34EA302E7F4CBD17A19E33BBCB72363234956D7E) (Version: 06/09/2010 4.5 - Nokia)
Windows-Treiberpaket - Nokia Modem (06/09/2010 7.01.0.7) (HKLM\...\EEEE705096F837B7907659F100C9FE6DA001970F) (Version: 06/09/2010 7.01.0.7 - Nokia)
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) (HKLM\...\504244733D18C8F63FF584AEB290E3904E791693) (Version: 08/22/2008 7.0.0.0 - Nokia)
WinRAR 5.00 (32-Bit) (HKLM\...\WinRAR archiver) (Version: 5.00.0 - win.rar GmbH)
==================== Custom CLSID (selected items): ==========================
(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)
==================== Restore Points =========================
==================== Hosts content: ==========================
(If needed Hosts: directive could be included in the fixlist to reset Hosts.)
2009-07-14 03:04 - 2014-10-25 17:50 - 00450713 ____R C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 10sek.com
127.0.0.1 www.10sek.com
127.0.0.1 www.1-2005-search.com
127.0.0.1 1-2005-search.com
127.0.0.1 123fporn.info
127.0.0.1 www.123fporn.info
127.0.0.1 123haustiereundmehr.com
127.0.0.1 www.123haustiereundmehr.com
127.0.0.1 123moviedownload.com
There are 1000 more lines.
==================== Scheduled Tasks (whitelisted) =============
(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)
Task: {158843FC-0C45-4C79-9BC4-F0468E8ADA70} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-02-13] (Lenovo)
Task: {22026E3D-2C05-4DC2-B448-5BA99A355760} - \Installer_iwebar No Task File <==== ATTENTION
Task: {2404BC77-C3CE-484B-B15A-C9B71646DC14} - System32\Tasks\{43D4E129-3A0B-4EF3-A4A3-A538A59C1D88} => pcalua.exe -a C:\Users\Timo\Downloads\79wv04ww.exe -d C:\Users\Timo\Downloads
Task: {3878FE8B-6AF6-4412-A522-B50F7CD8A7A7} - System32\Tasks\{15919F92-24EC-497D-9D01-3266043B540C} => pcalua.exe -a D:\setup.exe -d D:\
Task: {38E42000-C5FE-4281-952B-3D85C0E419E0} - System32\Tasks\{766FA266-FF1C-4043-BF42-DE68BDD19F56} => pcalua.exe -a C:\Users\Timo\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
Task: {39E225CF-37DF-41C3-9529-7AD485833223} - System32\Tasks\{702E7ACD-31DE-4DCA-BF02-FCED39F80FC8} => pcalua.exe -a "E:\Programme\Win 7\Zusätzliches\Bios settings\83ts04ww.exe" -d "E:\Programme\Win 7\Zusätzliches\Bios settings"
Task: {5505CE94-57E2-4DC3-830A-A46EECDC13C5} - System32\Tasks\{FEC243C7-3D4D-45A5-8075-5CD2F1656459} => pcalua.exe -a C:\Users\Timo\Downloads\7vua51ww.exe -d C:\Users\Timo\Downloads
Task: {698A310D-904C-4827-9FCB-4C6DA2C3904F} - System32\Tasks\TVT\TVSUUpdateTask => C:\Program Files\Lenovo\System Update\tvsuShim.exe [2015-01-15] ()
Task: {7900563C-D37A-48E8-A669-EB9382C7DE62} - System32\Tasks\Installer_shopperpro => C:\Users\Timo\AppData\Local\Installer\Installshopperpro_23868\DCytdieamo_amodc_setup.exe <==== ATTENTION
Task: {9AD23E96-C244-476B-B1AA-1FB010E6B8C8} - System32\Tasks\{7CD6D288-F4C4-4DA8-9A76-A10F50F0BA5E} => pcalua.exe -a C:\Users\Timo\Downloads\7jif12ww.exe -d C:\Users\Timo\Downloads
Task: {9E8592DF-3ADB-48BB-B23D-B7422C226B97} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files\Spybot - Search & Destroy 2\SDScan.exe
Task: {BD38C821-DA80-448A-97E7-E37E3F2EE5C9} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2015-02-04] (Adobe Systems Incorporated)
Task: {EB51A9AA-8BF2-4A5D-97BB-B1CD7B6A2515} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files\Spybot - Search & Destroy 2\SDImmunize.exe
(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
==================== Loaded Modules (whitelisted) ==============
1997-09-03 23:00 - 1997-09-03 23:00 - 00022016 _____ () C:\Windows\system32\docobj.dll
2013-10-15 13:43 - 2012-01-10 05:14 - 00024064 _____ () C:\Windows\System32\ssd3clm.dll
2015-01-22 15:29 - 2009-10-06 01:40 - 00022723 _____ () C:\Windows\System32\suge1l3.dll
2013-10-16 11:55 - 2012-04-25 09:07 - 00741376 _____ () C:\Windows\system32\spool\DRIVERS\W32X86\3\ssd3cdu.dll
2014-03-06 14:00 - 2014-03-06 14:00 - 01269952 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\kpcengine.2.3.dll
2013-12-27 17:55 - 2012-02-28 03:07 - 00054784 _____ () C:\Program Files\ThinkPad\Utilities\GR\PWMRT32V.DLL
2014-10-25 17:33 - 2014-05-13 11:04 - 00109400 _____ () C:\Program Files\Spybot - Search & Destroy 2\snlThirdParty150.bpl
2014-10-25 17:33 - 2014-05-13 11:04 - 00416600 _____ () C:\Program Files\Spybot - Search & Destroy 2\DEC150.bpl
2014-10-25 17:33 - 2014-05-13 11:04 - 00167768 _____ () C:\Program Files\Spybot - Search & Destroy 2\snlFileFormats150.bpl
2014-10-25 17:33 - 2012-08-23 09:38 - 00574840 _____ () C:\Program Files\Spybot - Search & Destroy 2\sqlite3.dll
2014-10-25 17:33 - 2012-04-03 16:06 - 00565640 _____ () C:\Program Files\Spybot - Search & Destroy 2\av\BDSmartDB.dll
2013-03-18 16:26 - 2013-03-18 16:26 - 00092456 _____ () C:\Program Files\Lenovo\Access Connections\AcWrpc.dll
2012-02-20 21:22 - 2012-02-20 21:22 - 00344064 _____ () C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe
2012-02-20 21:22 - 2012-02-20 21:22 - 00050688 _____ () C:\Program Files\Common Files\Common Desktop Agent\CDASrvPS.dll
2008-08-12 10:16 - 2008-08-12 10:16 - 02023424 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtCore4.dll
2008-07-29 13:01 - 2008-07-29 13:01 - 07331840 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtGui4.dll
2008-07-29 12:50 - 2008-07-29 12:50 - 00364544 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtXml4.dll
2008-07-29 13:47 - 2008-07-29 13:47 - 00135168 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\imageformats\qjpeg4.dll
2008-07-29 13:47 - 2008-07-29 13:47 - 00016384 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\imageformats\qsvg4.dll
2008-07-29 13:11 - 2008-07-29 13:11 - 00253952 _____ () C:\Program Files\Nokia\Nokia PC Suite 7\QtSvg4.dll
2011-01-24 11:35 - 2011-01-24 11:35 - 00132384 _____ () C:\Program Files\ThinkPad\Bluetooth Software\btkeyind.dll
1997-09-03 23:00 - 1997-09-03 23:00 - 00051984 _____ () C:\Program Files\Microsoft Office\Office\OSA.EXE
1997-09-03 23:00 - 1997-09-03 23:00 - 03782416 _____ () C:\Program Files\Microsoft Office\Office\MSO97.DLL
2015-03-03 20:38 - 2014-06-06 05:38 - 03852912 _____ () C:\Program Files\Mozilla Firefox\mozjs.dll
2014-04-20 00:42 - 2014-04-20 00:42 - 00468672 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com\npcontentblocker.dll
2014-04-20 00:42 - 2014-10-09 11:47 - 00642344 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com\npvkplugin.dll
2014-04-20 00:42 - 2014-04-20 00:42 - 00347328 _____ () C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com\nponlinebanking.dll
2015-02-04 22:17 - 2015-02-04 22:17 - 16852144 _____ () C:\Windows\system32\Macromed\Flash\NPSWF32_16_0_0_305.dll
==================== Alternate Data Streams (whitelisted) =========
(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)
==================== Safe Mode (whitelisted) ===================
(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Gambali => ""="service"
==================== EXE Association (whitelisted) ===============
(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)
==================== Other Areas ============================
(Currently there is no automatic fix for this section.)
HKU\S-1-5-21-641229778-3078360545-1551785825-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Timo\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.1.1
==================== MSCONFIG/TASK MANAGER disabled items ==
(Currently there is no automatic fix for this section.)
MSCONFIG\startupreg: PC Suite Tray => "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
MSCONFIG\startupreg: POP Peeper => "C:\Program Files\POP Peeper\POPPeeper.exe" -min
==================== Accounts: =============================
Administrator (S-1-5-21-641229778-3078360545-1551785825-500 - Administrator - Disabled)
Gast (S-1-5-21-641229778-3078360545-1551785825-501 - Limited - Enabled)
HomeGroupUser$ (S-1-5-21-641229778-3078360545-1551785825-1002 - Limited - Enabled)
Timo (S-1-5-21-641229778-3078360545-1551785825-1001 - Administrator - Enabled) => C:\Users\Timo
==================== Faulty Device Manager Devices =============
Name: Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindung
Description: Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindung
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Intel Corporation
Service: netw5v32
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
Name: IBM ThinkPad Fast Infrared Port
Description: IBM ThinkPad Fast Infrared Port
Class Guid: {6bdd1fc5-810f-11d0-bec7-08002be2092f}
Manufacturer: IBM
Service: NSCIRDA
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
==================== Event log errors: =========================
Application errors:
==================
System errors:
=============
Error: (03/03/2015 08:26:50 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (03/03/2015 08:25:41 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet:
%%-2147014847
Error: (03/03/2015 08:25:40 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Bid Check" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error: (03/03/2015 08:25:40 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "DgiVecp" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Error: (03/03/2015 08:25:34 PM) (Source: atikmdag) (EventID: 10266) (User: )
Description: Unknown EDID version
Error: (03/03/2015 07:07:00 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: {E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}
Error: (03/03/2015 07:05:17 PM) (Source: volsnap) (EventID: 36) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
Error: (03/03/2015 06:40:52 PM) (Source: DCOM) (EventID: 10016) (User: NT-AUTORITÄT)
Description: AnwendungsspezifischLokalStart{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}NT-AUTORITÄTSYSTEMS-1-5-18LocalHost (unter Verwendung von LRPC)
Error: (03/03/2015 06:39:34 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet:
%%-2147014847
Error: (03/03/2015 06:39:34 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Bid Check" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2
Microsoft Office Sessions:
=========================
CodeIntegrity Errors:
===================================
Date: 2015-02-28 13:19:48.629
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.613
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Windows\ELAMBKUP\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.597
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
Date: 2015-02-28 13:19:48.582
Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Kaspersky Lab\Kaspersky Internet Security 15.0.0\KLELAMX86\klelam.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.
==================== Memory info ===========================
Processor: Intel(R) Core(TM) Duo CPU T2700 @ 2.33GHz
Percentage of memory in use: 44%
Total physical RAM: 3070.43 MB
Available physical RAM: 1709.34 MB
Total Pagefile: 6139.14 MB
Available Pagefile: 4573.79 MB
Total Virtual: 2047.88 MB
Available Virtual: 1891.29 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:43.95 GB) (Free:17.95 GB) NTFS
Drive e: (Volume) (Fixed) (Total:67.74 GB) (Free:67.62 GB) NTFS
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 129B8011)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=43.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=67.7 GB) - (Type=07 NTFS)
==================== End Of Log ============================
Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-03-03 22:11:30
Windows 6.1.7600 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Samsung_ rev.DXT0 111,79GB
Running: Gmer-19357.exe; Driver: C:\Users\Timo\AppData\Local\Temp\uxldipog.sys
---- System - GMER 2.1 ----
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwAdjustPrivilegesToken [0x90EEF0A0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwAlpcConnectPort [0x90EEF020]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwAlpcSendWaitReceivePort [0x90EEF030]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwConnectPort [0x90EEF050]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateSection [0x90EEF000]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateSymbolicLinkObject [0x90EEF410]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateThread [0x90EEF100]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwCreateThreadEx [0x90EEF040]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwDebugActiveProcess [0x90EEF140]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwDeviceIoControlFile [0x90EEF1E0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwDuplicateObject [0x90EEF170]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwLoadDriver [0x90EEF150]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwMapViewOfSection [0x90EEF180]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwOpenProcess [0x90EEF080]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwOpenSection [0x90EEF070]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwOpenThread [0x90EEF090]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwProtectVirtualMemory [0x90EEF0C0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwQueryIntervalProfile [0x90EEF470]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwQueueApcThread [0x90EEF120]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwRequestWaitReplyPort [0x90EEF1D0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwResumeProcess [0x90EEF490]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwResumeThread [0x90EEF1A0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSecureConnectPort [0x90EEF060]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetContextThread [0x90EEF110]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetInformationObject [0x90EEF0B0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetInformationToken [0x90EEF010]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSetSystemInformation [0x90EEF160]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSuspendProcess [0x90EEF1C0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSuspendThread [0x90EEF1B0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwSystemDebugControl [0x90EEF130]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwTerminateProcess [0x90EEF0D0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwTerminateThread [0x90EEF0E0]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwUnmapViewOfSection [0x90EEF190]
SSDT \SystemRoot\system32\DRIVERS\klhk.sys ZwWriteVirtualMemory [0x90EEF0F0]
---- Kernel code sections - GMER 2.1 ----
.text ntkrnlpa.exe!ZwRollbackTransaction + 13F9 82E4B829 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82E70132 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 230 82E77910 4 Bytes [A0, F0, EE, 90]
.text ntkrnlpa.exe!RtlSidHashLookup + 258 82E77938 4 Bytes [20, F0, EE, 90] {AND AL, DH; OUT DX, AL; NOP }
.text ntkrnlpa.exe!RtlSidHashLookup + 29C 82E7797C 4 Bytes [30, F0, EE, 90] {XOR AL, DH; OUT DX, AL; NOP }
.text ntkrnlpa.exe!RtlSidHashLookup + 2EC 82E779CC 4 Bytes [50, F0, EE, 90] {PUSH EAX; OUT DX, AL; NOP }
.text ntkrnlpa.exe!RtlSidHashLookup + 350 82E77A30 4 Bytes [00, F0, EE, 90] {ADD AL, DH; OUT DX, AL; NOP }
.text ...
---- Devices - GMER 2.1 ----
AttachedDevice \Driver\tdx \Device\Tcp kltdi.sys
AttachedDevice \Driver\tdx \Device\Udp kltdi.sys
AttachedDevice \Driver\tdx \Device\RawIp kltdi.sys
---- Registry - GMER 2.1 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0016cfdb120e
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0016cfdb120e@0060572e7dca 0x6F 0x05 0x4F 0xE1 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0016cfdb120e (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0016cfdb120e@0060572e7dca 0x6F 0x05 0x4F 0xE1 ...
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@\\Hamaprn45\hdd1\PRG\xb4s\Programme\Win 7_8\Browser\Firefox Setup 30.0.exe 1
---- EOF - GMER 2.1 ----
Liebe Grüße |
|
04.03.2015, 22:46
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Hallo und
__________________ Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten! Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!  Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ |
|
05.03.2015, 09:02
| #3 |
| | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Hallo Cosinus,
__________________nein, leider habe ich keine weiteren Logfiles. Ist denn bei dem gepostetem nichts hilfreiches dabei? Habe auch das gefühl das die Kiste langsamer geworden ist. .......  |
|
05.03.2015, 09:07
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Ich frag immer ob es Logs mit Funden gibt weil ich wissen will/muss, mit was man es zu tun hat. Und je mehr Infos über die Ausgangslage desto besser. FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 dihitily; C:\Users\Timo\AppData\Roaming\81369B29-1424963175-CB11-9F3C-CE7475834B8B\nsaCFF5.tmpfs
Task: {22026E3D-2C05-4DC2-B448-5BA99A355760} - \Installer_iwebar No Task File <==== ATTENTION
Task: {7900563C-D37A-48E8-A669-EB9382C7DE62} - System32\Tasks\Installer_shopperpro => C:\Users\Timo\AppData\Local\Installer\Installshopperpro_23868\DCytdieamo_amodc_setup.exe <==== ATTENTION
C:\Users\Timo\AppData\Local\Installer\Installshopperpro_23868
C:\Users\Timo\AppData\Roaming\81369B29-1424963175-CB11-9F3C-CE7475834B8B
EmptyTemp:
Hosts:
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
05.03.2015, 21:38
| #5 |
| | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Ok, hier nun das Fixlog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 02-03-2015
Ran by Timo at 2015-03-05 21:30:01 Run:1
Running from C:\Down\Downloads
Loaded Profiles: Timo (Available profiles: Timo)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 dihitily; C:\Users\Timo\AppData\Roaming\81369B29-1424963175-CB11-9F3C-CE7475834B8B\nsaCFF5.tmpfs
Task: {22026E3D-2C05-4DC2-B448-5BA99A355760} - \Installer_iwebar No Task File <==== ATTENTION
Task: {7900563C-D37A-48E8-A669-EB9382C7DE62} - System32\Tasks\Installer_shopperpro => C:\Users\Timo\AppData\Local\Installer\Installshopperpro_23868\DCytdieamo_amodc_setup.exe <==== ATTENTION
C:\Users\Timo\AppData\Local\Installer\Installshopperpro_23868
C:\Users\Timo\AppData\Roaming\81369B29-1424963175-CB11-9F3C-CE7475834B8B
EmptyTemp:
Hosts:
*****************
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
dihitily => Service deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{22026E3D-2C05-4DC2-B448-5BA99A355760}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{22026E3D-2C05-4DC2-B448-5BA99A355760}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Installer_iwebar" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{7900563C-D37A-48E8-A669-EB9382C7DE62}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7900563C-D37A-48E8-A669-EB9382C7DE62}" => Key deleted successfully.
C:\Windows\System32\Tasks\Installer_shopperpro => Moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Installer_shopperpro" => Key deleted successfully.
"C:\Users\Timo\AppData\Local\Installer\Installshopperpro_23868" => File/Directory not found.
"C:\Users\Timo\AppData\Roaming\81369B29-1424963175-CB11-9F3C-CE7475834B8B" => File/Directory not found.
C:\Windows\System32\Drivers\etc\hosts => Moved successfully.
Hosts was reset successfully.
EmptyTemp: => Removed 383 MB temporary data.
The system needed a reboot.
==== End of Fixlog 21:31:08 ====
|
|
05.03.2015, 22:03
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Okay, dann Kontrollscans mit MBAM und ESET bitte: Downloade Dir bitte  Malwarebytes Anti-Malware
ESET Online Scanner
__________________ --> Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF |
|
06.03.2015, 21:21
| #7 |
| | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF So, also hier der MBAM Log: Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Scan Date: 06.03.2015 Scan Time: 18:24:44 Logfile: MBAM_Log.txt Administrator: Yes Version: 2.00.4.1028 Malware Database: v2015.03.06.04 Rootkit Database: v2015.02.25.01 License: Free Malware Protection: Disabled Malicious Website Protection: Disabled Self-protection: Disabled OS: Windows 7 CPU: x86 File System: NTFS User: Timo Scan Type: Threat Scan Result: Completed Objects Scanned: 313678 Time Elapsed: 6 min, 44 sec Memory: Enabled Startup: Enabled Filesystem: Enabled Archives: Enabled Rootkits: Enabled Heuristics: Enabled PUP: Enabled PUM: Enabled Processes: 0 (No malicious items detected) Modules: 0 (No malicious items detected) Registry Keys: 3 PUP.Optional.Amonetize, HKLM\SOFTWARE\CLASSES\TYPELIB\{B5596BCE-4277-4EF5-97E7-0A343CC0324B}, Quarantined, [94153ce65d2deb4bff6560cc44be9b65], PUP.Optional.Amonetize, HKLM\SOFTWARE\CLASSES\INTERFACE\{8E8C04EF-92FC-4702-BE8F-6AF5AD575831}, Quarantined, [94153ce65d2deb4bff6560cc44be9b65], PUP.Optional.VOPackage, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE, Quarantined, [664379a95a30d363ac207e4c57ac867a], Registry Values: 1 PUP.Optional.VOPackage, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE|UninstallString, "C:\Users\Timo\AppData\Roaming\VOPackage\Uninstall.exe", Quarantined, [664379a95a30d363ac207e4c57ac867a] Registry Data: 0 (No malicious items detected) Folders: 2 PUP.Optional.VOPackage.A, C:\Users\Timo\AppData\Roaming\VOPackage, Quarantined, [9811a87a9eecc07614dc2179a26137c9], PUP.Optional.VOPackage.A, C:\Users\Timo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage, Quarantined, [aefbab77d7b338fef6fb306abf44ed13], Files: 8 PUP.Optional.MyStartSearch.A, C:\Users\Timo\AppData\Local\Temp\awhF2DE.tmp, Quarantined, [3475e73be5a5a98d3b771cfa798d629e], PUP.Optional.Amonetize, C:\Users\Timo\AppData\Local\Temp\Jetmouse garmin keygen v1 5 with checksum fix__10924_i1476020540_il924790.exe, Quarantined, [94153ce65d2deb4bff6560cc44be9b65], PUP.Optional.Amonetize, C:\Users\Timo\AppData\Local\Temp\jetmouse keygen 1.3__10924_i1476007101_il917159.exe, Quarantined, [6a3f1a08791164d2471d9e8e24dee11f], PUP.Optional.OutBrowse, C:\Users\Timo\AppData\Local\Temp\setup.exe, Quarantined, [c1e881a145454de99fcb75b7e51d5ca4], PUP.Optional.OutBrowse, C:\Users\Timo\AppData\Local\Temp\nsqEA4F.tmp\hifsy.dll, Quarantined, [a90059c962281f1784e6929a1ce6b64a], PUP.Optional.VOPackage.A, C:\Users\Timo\AppData\Roaming\VOPackage\Uninstall.exe, Quarantined, [9811a87a9eecc07614dc2179a26137c9], PUP.Optional.VOPackage.A, C:\Users\Timo\AppData\Roaming\VOPackage\VOPackage.exe, Quarantined, [9811a87a9eecc07614dc2179a26137c9], PUP.Optional.VOPackage.A, C:\Users\Timo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk, Quarantined, [aefbab77d7b338fef6fb306abf44ed13], Physical Sectors: 0 (No malicious items detected) (end) Und der ESET Log: Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=0b96bc3e32beac47acf1629e244d001d
# engine=22788
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-03-06 06:24:07
# local_time=2015-03-06 07:24:07 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7600 NT
# compatibility_mode_1='Kaspersky Internet Security'
# compatibility_mode=1296 16777213 100 100 3010 29742529 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 706094 177297438 0 0
# scanned=114038
# found=11
# cleaned=0
# scan_time=2004
sh=43B2963293CE3865C32132A4802B92531C16D256 ft=1 fh=e1d0248c77f0c9d9 vn="Win32/Thinknice.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\SupTab\SupTab.dll.vir"
sh=9AE9A2C0B8241366357206097FD312B5671FCAE8 ft=1 fh=dc7a3c84863e13b7 vn="Win32/Thinknice.E evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\SupTab\uninstall.exe.vir"
sh=E2DA6C1E14F94BB777EE64B6A72BB22763380622 ft=1 fh=584adac99b6b36e9 vn="Variante von Win32/Adware.PicColor.O Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\ProgramData\80e714adaf3f4fa1a656d59bc0ba247b\80e714adaf3f4fa1a656d59bc0ba247b.exe.vir"
sh=246DDBC3A2C223A6B9072637D93DC2A2832D097A ft=1 fh=c71c0011b04f613a vn="Win32/Toolbar.Babylon.Y evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\ProgramData\DSearchLink\DSearchLink.exe.vir"
sh=46CCCF6B5BEE2B6C629C5661E9958CE82DC13E58 ft=1 fh=a2ae6b4b4f7b76c3 vn="Variante von Win32/Adware.Synatix.A Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Timo\AppData\Local\Temp\Security Systems\Setup.exe.vir"
sh=948D4F0DF4343B21EDEFB1DB5818537646813687 ft=1 fh=5b7709fa471363f9 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Public\Downloads\Aufräumer\SpyBot Search Destroy - CHIP-Installer.exe"
sh=0747AF5F91C97A8C8B4EC39448B012ABFB84A071 ft=1 fh=bff237f0df972416 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Public\Downloads\PRG´s\PDF24 Creator - CHIP-Installer.exe"
sh=CC9E67A9F2E1C96CA6BD55C70A721E516ABAFE4A ft=1 fh=5c9d4d294dba47e9 vn="Variante von Win32/Speedchecker.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Timo\AppData\Local\Temp\awhE907.tmp"
sh=7149D375F24BD0613F3FA48531504D97501A8005 ft=1 fh=d39d069750ec51da vn="Variante von Win32/OutBrowse.BA evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Timo\AppData\Local\Temp\dfcabfcebai.exe"
sh=98418833FD2EED1ABA2029D86C51C579753FEA55 ft=0 fh=0000000000000000 vn="Variante von Win32/OutBrowse.BA evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Timo\AppData\Local\Temp\dfcabfcebai.zip"
sh=BF02088EF7BB7B65353D86F2B7D8ABA261B431D8 ft=1 fh=4d90cedbc7207479 vn="Variante von Win32/SpeedBit.D evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Timo\AppData\Local\Temp\ytdieamo_amodc_setup.exe"
|
|
06.03.2015, 22:57
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Adware-Reste... FRST-Fix Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft! Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter C:\Users\Public\Downloads\Aufräumer\SpyBot Search Destroy - CHIP-Installer.exe
C:\Users\Public\Downloads\PRG´s\PDF24 Creator - CHIP-Installer.exe
EmptyTemp:
Hosts:
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
07.03.2015, 21:51
| #9 |
| | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF So, hier der Log: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 07-03-2015
Ran by Timo at 2015-03-07 21:40:49 Run:2
Running from C:\Down\Downloads
Loaded Profiles: Timo (Available profiles: Timo)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
C:\Users\Public\Downloads\Aufräumer\SpyBot Search Destroy - CHIP-Installer.exe
C:\Users\Public\Downloads\PRG´s\PDF24 Creator - CHIP-Installer.exe
EmptyTemp:
Hosts:
*****************
C:\Users\Public\Downloads\Aufräumer\SpyBot Search Destroy - CHIP-Installer.exe => Moved successfully.
C:\Users\Public\Downloads\PRG´s\PDF24 Creator - CHIP-Installer.exe => Moved successfully.
C:\Windows\System32\Drivers\etc\hosts => Moved successfully.
Hosts was reset successfully.
EmptyTemp: => Removed 601.7 MB temporary data.
The system needed a reboot.
==== End of Fixlog 21:41:28 ====
Es hat sich was verändert. Die Werbebanner sind weg. Außer eins, das sich allerdings nicht mehr mit Inhalt zu füllen schein. Aber in Texten sind immer noch Wörter in Blauer schrift und doppelt unterstrichen bei denen sich bei Mouseover das schon beschriebene Fenster öffnet. Aber neue Reiter scheinen sich ebenfalls nicht mehr zu öffnen....bis jetzt, haber gerade mal 5 min Test gesurft..... ...Ok, als ich mich gerade aus dem Trojanerboard ausgeloggt habe und mit ok bestätigt habe haben sich wieder 2 neue Reiter geöffnet..... Also war gerade nochmal nen bischen unterwegs....es sind doch noch alle Werbebanner da, mit Inhalt.... Geändert von Demolition (07.03.2015 um 21:58 Uhr) |
|
07.03.2015, 23:58
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Erstell dir mal ein neues Profil und teste: Firefox => http://support.mozilla.com/de/kb/Profile%20verwalten Chrome => https://support.google.com/chrome/answer/3296214?hl=de
__________________ Logfiles bitte immer in CODE-Tags posten |
|
10.03.2015, 23:27
| #11 |
| | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Hej, das war es offensichtlich. Wie kann ich Dir danken? Als Tischler vielleicht ein neues Wurzelfurniergehäuse für Deinen PC?  Vielen Dank!!!  |
|
11.03.2015, 11:15
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF Retro-Holz-Style hätte was  aber nein danke  Dein Lob ist mir Dank genug! Sieht soweit ok aus  Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) empfehle ich die Erweiterung Ghostery, diese verhindert weitgehend Usertracking bzw. das Anzeigen von Werbebannern. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Wenn soweit jetzt alles ok ist wären wir durch! Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. Es empfiehlt sich Malwarebytes Anti-Malware zu behalten und damit wöchentlich nach Malware zu scannen. Helfen kann dir dabei delfix: Die Reihenfolge ist hier entscheidend.
Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Win7-plötzlich Werbebanner u. aktive Links in E-mails/allen Texten/nur in FF |
| browser, cursor, desktop, downloader, ebanking, feedback, fehler, festplatte, firefox, flash player, homepage, installmanager.exe, internet, internet explorer, karte, kaspersky, malware, mozilla, problem, refresh, registry, scan, security, server, software, svchost.exe, system, usb, warum, windows |
