Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.04.2015, 16:03   #1
something12
 
Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an - Standard

Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an



Hallo,

ich bin mir nicht ganz sicher was einen PC (Win7 64bit, uptodate, Hostname: Sandbox) plagt.
Es ist AntiVir 2015 installiert und findet bei einem Scan nichts aussergewöhnliches. Vermeldet aber immer wieder in regelmässigen Abständen, dass der Zugriff auf die Registry blockiert wurde. Details gibt es keine.
Also habe ich HijackThis und Malwarebytes drüber laufen lassen: Beides zeigt nichts an.

Im Windows Log werde ich allerdings fündig:

Ereignis 3001, LoadPerf
Code:
ATTFilter
Das Ereignis wird nicht richtig angezeigt, da der zugrunde liegende XML-Code nicht wohlgeformt ist. Nachstehend finden Sie den reinen Text des Ereignisses.

300102000x80000000000000002277ApplicationSandbox㧼㨜㨤㨬㨼㩈㩨㩴㪔㪜㪤㪰㫐㫘㫬㫸㬀㬘㬠㬨㬸㭀㭈㭐㭘㭠㭨㭰㭸㮀㮈㮐㮘㮠㮨㮰㮸㯈㯐㯘㯠㯬㯴㰘㰬㰼㱄㱌㱔㱬㱴㱼㲌㲔㲜㲤㲰㲸㳜㳰㴈㴐㴘㴰㴸㵀㵈㵜㵤㵬㵴㵸㶀㶔㶤㶸㷀㷜㷤㸄㸘㸠㸼㹄㹠㺀㺈㺐㺘㺠㺨㺰㺸㻀㻈㻐㻘㻠㻨㻰㻸㼀㼈㼔㼴㽀㽨㾌㾘㾠㿀㿤㿰㿸ꀀǴ16000000009E2500009F250000600B0000
         
Und in der Registry gab es noch mehr Hinweise, unter folgenden Verzeichnissen war etwas faul:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\007]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\currentversion]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\007]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\009]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\currentversion]

Die jeweiligen Reg_Multi_Sz Keys mit dem Namen "Counter" sind gefüllt mit teils deutschen, aber vorwiegend asiatischen oder kryptischen Zeichen.
Bei einem anderen PC waren die Einträge nur in Deutsch, somit verdichten sich die Indizien, dass dort der Wurm drin steckt. Die Einträge kann ich leider nicht im laufenden Betrieb überschreiben. Leider weiss ich auch nicht für was die "Counter" zuständig sind.

Ein kurzes Beispiel was da drin steht möchte ich dennoch hier lassen:
Code:
ATTFilter
㧼㨜㨤㨬㨼㩈㩨㩴㪔㪜㪤㪰㫐㫘㫬㫸㬀㬘㬠㬨㬸㭀㭈㭐㭘㭠㭨㭰㭸㮀㮈㮐㮘㮠㮨㮰㮸㯈㯐㯘㯠㯬㯴㰘㰬㰼㱄㱌㱔㱬㱴㱼㲌㲔㲜㲤㲰㲸㳜㳰㴈㴐㴘㴰㴸㵀㵈㵜㵤㵬㵴㵸㶀㶔㶤㶸㷀㷜㷤㸄㸘㸠㸼㹄㹠㺀㺈㺐㺘㺠㺨㺰㺸㻀㻈㻐㻘㻠㻨㻰㻸㼀㼈㼔㼴㽀㽨㾌㾘㾠㿀㿤㿰㿸ꀀǴ
〘〬〼ぐじへれ゜グジバヘムヤレ㄀ㄈㄐㄘㄤㅌㅰㅼㆄ㆜ㆤㆬㆴ㇀㇨㈌㈘㈠㈸㉀㉈㉌㉔㉨㉰㉼㊠㋀㋈㋐㋘㋠㋨㋰㋸㌄㌤㌬㌴㌼㍄㍌㍔㍜㍤㍬㍴㍼㎄㎌㎔㎜㎤㎬㎴㎼㏄㏌㏔㏠㐀㐌㐬㐸㑘㑤㒄㒌㒘㒸㓄㓤㓬㓸㔠㕄㕐㕘㕰㕼㖜㖨㗈㗔㗸㘘㘠㘨㘰㘸㙀㙈㙐㙘㙠㙨㙰㙼㚜㚤㚬㚴㛀㛤㜄㜌㜔㜜㜤㜬㜴㜼㝄㝐㝴㞔㞜㞤㞬㞴㞼㟈㟨㟴㠜㡀㡌㡔㡴㢘㢤㢬㣄㣐㣸㤜㤨㤰㥐㥴㦀㦈㦠㦬㧌㧘㨀㨔㨤㨸㩀㩠㪄㪐㪘㪸㫜㫨㫰㬈㬐㬜㭄㭨㭴㭼㮔㮜㮨㯐㯴㰀㰈㰠㰨㰰㰼㱤㲈㲔㲜㲼㳠㳬㳴㴔㴸㵄㵌㵤㵬㵴㵼㶈㶨㶰㶸㷀㷌㷬㷴㸀㸠㸬㹔㹸㺄㺌㺬㻐㻜㻤㻼㼄㼐㼰㼸㽄㽤㽰㾐㾘㾠㾨㾴㿔㿜㿤㿬㿴㿼뀀ʄ
 〈〜〨えぐじだとばへむよゐ゘゠エグジダトバヘムヨヰヸ㄀ㄌㄬㄴㅈㅔㅜㅴㅼㆄㆌ㆜ㆤㆴㆼ㇄㇘㇤㇬㈄㈌㈜㈤㈬㈼㉄㉐㉰㉼㊜㊤㊸㋄㋌㋤㋬㋴㋼㌌㌔㌤㌬㌴㌼㍈㍨㍰㍼㎜㎨㏌㏬㏴㏼㐄㐌㐔㐜㐤㐰㑐㑘㑠㑨㑰㑸㒀㒈㒔㒴㒼㓄㓌㓘㓠㔄㔘㔠㔨㔸㕀㕐㕘㕠㕰㖀㖈㖐㖘㖤㗄㗌㗔㗜㗨㗰㘔㘨㘰㘸㙀㙈㙐㙠㙰㚀㚈㚐㚘㚠㚨㚰㚸㛀㛐㛘㛠㛨㛴㛼㜠㜴㜼㝄㝌㝔㝜㝬㞄㞌㞔㞜㞤㞬㞴㞼㟄㟘㟸㠀㠈㠐㠘㠠㠨㠰㠼㡜㡨㢈㢐㢤㢬㣈㣐㣨㣰㤄㤌㤨㤰㥈㥐㥤㥴㥼㦐㦘㦴㧔㧜㧤㧬㧴㧼㨄㨌㨔㨜㨤㨬㨴㨼㩈㩨㩰㩸㪀㪈㪔㪴㪼㫄㫌㫔㫜㫤㫬㫴㫼㬈㬨㬴㭔㭜㭨㮌㮬㮴㮼㯄㯌㯔㯜㯤㯬㯴㯼㰈㰨㰰㰸㱄㱤㱬㱴㲀㲤㳄㳌㳔㳜㳤㳬㳴㳼㴄㴐㴰㴸㵀㵌㵰㶐㶘㶠㶨㶰㶸㷀㷐㷴㸀㸈㸨㹌㹘㹠㺀㺤㺰㺸㻐㻘㻤㼄㼌㼘㼼㽜㽤㽬㽴㽼㾄㾌㾔㾜㾤㾬㾴㾼㿄㿌㿔㿜㿤㿬㿴㿼
쀀ʠ
〄「〔〜〤〬〴〼えとぴ゘ジダトバヘヨーㄌㄠㄨㅀㅈㅐㅜㅼㆈㆨㆴ㇔㇠㈀㈈㈐㈘㈤㉄㉌㉔㉠㊄㊤㊬㊴㊼㋄㋌㋔㋠㌄㌤㌬㌴㌼㍄㍐㍰㍸㎀㎈㎐㎠㏄㏐㏘㏸㐜㐨㐰㑐㑴㒀㒈㒠㒨㒴㓜㓰㔀㔔㔜㔸㕘㕠㕨㕰㕸㖀㖈㖐㖘㖠㖨㖰㖸㗌㗘㗠㗸㘀㘘㘠㘨㘰㘸㙀㙈㙔㙜㚀㚔㚜㚤㛄㛌㛜㛤㛸㜀㜜㜤㝀㝠㝨㝰㝸㞀㞈㞐㞘㞠㞨㞰㞸㟀㟈㟐㟘㟠㟨㟰㟸㠀㠈㠐㠘㠠㠨㠰㠸㡀㡈㡐㡘㡠㡨㡰㡸㢀㢈㢐㢘㢠㢨㢰㢸㣀㣈㣐㣘㣠㣨㣰㣸㤀㤈㤐㤘㤠㤨㤰㤸㥀㥈㥐㥘㥠㥨㥰㥸㦀㦈㦐㦘㦠㦨㦰㧀㧔㧠㧨㨀㨈㨐㨘㨠㨨㨰㩀㩔㩴㩼㪄㪌㪔㪜㪤㪬㪴㫀㫠㫨㫰㫸㬀㬈㬐㬘㬠㬨㬰㬸㭄㭨㮈㮐㮘㮠㮨㮰㮸㯀㯈㯔㯴㯼㰄㰌㰔㰜㰤㰰㱔㱴㱼㲄㲌㲔㲜㲤㲬㲴㲼㳐㳜㳤㳼㴄㴌㴔㴜㴤㴬㴴㵄㵌㵔㵜㵬㵴㶈㶔㶜㶴㶼㷄㷌㷔㷬㷴㷼㸄㸐㸘㸼㹐㹘㹠㺈㺐㺤㺰㺸㻐㻘㻠㻨㻰㻸㼀㼐㼠㼨㼰㼸㽀㽈㽜㽨㽰㾈㾐㾘㾠㾸㿄㿤㿬㿴㿼
퀀ɠ
〈〨〴じへむよゐ゘゠エグジダトバボー㄄ㄘㄤㄬㅌㅔㅜㅤㅬㅴㅼㆌ㆔ㆨㆴㆼ㇜㇤㇬ㇴㇼ㈄㈌㈔㈜㈤㈬㈼㉈㉨㉰㊔㊠㊨㋀㋈㋬㋸㌀㌘㌠㍄㍐㍘㍰㍸㎌㎘㎠㏀㏈㏐㏘㏨㏰㐔㐠㐨㑀㑈㑜㑨㑰㒐㒘㒠㒨㒰㒸㓀㓈㓐㓠㓨㓼㔈㔐㔰㔸㕀㕐㕘㕠㕨㕴㕼㖠㖴㖼㗌㗤㗬㗼㘄㘘㘤㘬㙌㙔㙜㙤㙬㙴㙼㚄㚌㚔㚜㚤㚬㚼㛄㛘㛤㛬㜌㜔㜜㜤㜴㜼㝐㝜㝤㞄㞌㞔㞜㞬㞴㟈㟔㟜㟼㠄㠌㠔㠤㠬㡀㡌㡔㡴㡼㢄㢌㢔㢜㢤㢬㢴㢼㣄㣌㣔㣤㣬㤀㤌㤔㤴㤼㥄㥌㥔㥤㥬㦀㦐㦘㦬㦴㧌㧔㧸㨄㨌㨤㨬㩐㩜㩤㩼㪄㪨㪴㪼㫔㫜㬀㬌㬔㬬㬴㭘㭤㭬㮄㮌㮠㮰㯄㯌㯤㯬㰀㰐㰤㰬㱄㱌㱰㱼㲄㲜㲤㲸㳄㳌㳬㳴㳼㴄㴌㴔㴤㴬㵀㵌㵔㵬㵴㵼㶔㶜㶤㶬㶴㷈㷔㷜㷴㷼㸄㸌㸜㸬㸴㹈㹘㹠㹴㹼㺔㺜㺰㺸㻀㻜㻤㻼㼄㼘㼤㼬㽄㽌㽔㽬㽴㾈㾔㾜㾼㿄㿌㿔㿜㿤㿴㿼
Ȉ
【〜〤いがごぜつぬやエゴゼボ㄀ㄌㄔㄴㄼㅄㅠㅨㅴ㆔ㆠ㇈㇬ㇸ㈀㈜㈼㉄㉌㉔㉜㉤㉬㉴㉼㊈㊨㊴㋔㋜㋰㋼㌄㌜㌤㌬㌼㍌㍘㍸㎀㎈㎐㎜㎼㏄㏌㏘㏸㐀㐈㐔㐴㐼㑈㑨㑴㒔㒠㓀㓈㓜㓨㓰㔈㔐㔠㔰㔸㕀㕈㕐㕘㕠㕨㕰㕼㖜㖤㖬㖴㖼㗄㗌㗔㗜㗤㗬㗴㘀㘠㘬㙌㙘㙸㚄㚤㚰㛐㛜㛼㜈㜨㜰㜼㝜㝤㝬㝸㞘㞠㞨㞴㟔㟠㠀㠌㠬㠴㡀㡠㡬㢌㢘㢼㣜㣤㣬㣴㣼㤄㤌㤔㤜㤤㤬㤴㤼㥄㥌㥔㥠㦀㦌㦴㧈㧐㧠㧴㧼㨜㨬㨸㩀㩤㩸㪀㪈㪘㪰㫀㫌㫬㫸㬘㬤㭄㭐㭰㭸㮄㮤㮰㯐㯜㯼㰄㰌㰔㰠㱄㱤㱬㱴㱼㲄㲌㲔㲜㲤㲬㲴㲼㳄㳐㳰㳸㴄㴤㴰㵐㵜㵼㶈㶨㶴㷘㷸㸀㸈㸐㸘㸠㸨㸴㹔㹠㺀㺌㺬㺴㺼㻄㻐㻰㻸㼀㼈㼔㼴㼼㽈㽨㽰㽸㾄㾬㿐㿜㿤㿼
Ũ
〈〰ごだとむれガジヘヤ㄄ㄐㄸㅀㅈㅤㅰ㆐㆜ㆼ㇈㇨ㇰㇼ㈜㈤㈰㉐㉘㉤㊄㊐㊰㊸㋀㋈㋔㋸㌘㌠㌨㌰㌸㍀㍈㍐㍘㍠㍬㎌㎘㎸㏀㏌㏬㏴㐀㐠㐨㐴㑜㒀㒌㒔㒬㒴㓀㓠㓬㔌㔘㔸㕄㕤㕰㖐㖜㗄㗘㗤㗬㘄㘌㘔㘤㘼㙐㙜㙤㙼㚄㚔㚜㚬㚴㛀㛠㛨㛰㛼㜜㜨㝈㝔㝴㝼㞄㞐㞰㞸㟄㟤㟰㠐㠘㠠㠬㡌㡔㡜㡨㢈㢔㢴㢼㣈㣨㣰㣼㤜㤨㥈㥐㥜㥼㦄㦐㦰㦸㧄㧤㧬㧴㧼㨈㨨㨰㨸㩀㩌㩬㩴㩼㪈㪨㪴㫨㬈㬤㬨㭈㭐㭔㭰㮀㮤㮰㮸㯤㯨㯸㰜㰨㰰
쀀
         
Für jeden Ratschlag bin ich offen

Vielen Dank im Voraus!

Alt 10.04.2015, 16:23   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an - Standard

Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an



hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________

__________________

Alt 11.04.2015, 08:12   #3
something12
 
Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an - Standard

Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an



Hallo schrauber


bei der frst.txt ist mir direkt etwas aufgefallen. In den Files im letzten Monat bearbeitet tauchen diese hier auf:
2015-03-18 17:09 - 2010-11-21 08:50 - 00698688 _____ () C:\Windows\system32\perfh007.dat
2015-03-18 17:09 - 2010-11-21 08:50 - 00148828 _____ () C:\Windows\system32\perfc007.dat

Klingt ziemlich nach der preflib und die 007 kam auch in der Registry vor. Vielleicht Zufall, vielleicht auch nicht.

Anmerkung, diese Files sind von mir (export und Sicherung):
2015-04-10 15:40 - 2015-04-10 15:40 - 00069632 _____ () C:\Users\Admin\Documents\china.evtx
2015-04-10 15:39 - 2015-04-10 15:39 - 17263248 _____ () C:\Users\Admin\Documents\preflib.reg
2015-04-10 15:38 - 2015-04-10 15:38 - 17265000 _____ () C:\Users\Admin\Documents\preflib_x64.reg


FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015
Ran by Admin (administrator) on SANDBOX on 11-04-2015 07:53:09
Running from C:\Users\Admin\Downloads
Loaded Profiles: Admin (Available profiles: Admin)
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Realtek Semiconductor Corp.) C:\Program Files\Realtek\Audio\HDA\RtDCpl64.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Geek Software GmbH) C:\Program Files (x86)\PDF24\pdf24.exe
(Horizon Datasys, Inc.) C:\Program Files\Shield\ShdServ.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
(Intel Corporation) C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtDCpl64.exe [2907240 2010-10-04] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Shield] => C:\Program Files\Shield\shdtray.exe [72728 2014-12-05] (Horizon Datasys, Inc.)
HKLM-x32\...\Run: [PDFPrint] => C:\Program Files (x86)\PDF24\pdf24.exe [193568 2014-11-28] (Geek Software GmbH)
HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [726320 2015-04-10] (Avira Operations GmbH & Co. KG)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\S-1-5-21-1948373623-948986961-338287050-1000\...\MountPoints2: {92196ac5-7aeb-11e4-ae84-806e6f6e6963} - D:\CH-Fahrschule.exe
BootExecute: ShdSyncautocheck autochk * 

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKU\S-1-5-21-1948373623-948986961-338287050-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-1948373623-948986961-338287050-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-ch/?ocid=iehp
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\ssv.dll [2015-03-31] (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\jp2ssv.dll [2015-03-31] (Oracle Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

FireFox:
========
FF ProfilePath: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eg202ews.default
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_17_0_0_134.dll [2015-04-01] ()
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_17_0_0_134.dll [2015-04-01] ()
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll [2014-10-30] ()
FF Plugin-x32: @java.com/DTPlugin,version=11.40.2 -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\dtplugin\npDeployJava1.dll [2015-03-31] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.40.2 -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\plugin2\npjp2.dll [2015-03-31] (Oracle Corporation)
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-11] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-11] (Google Inc.)
FF Extension: Avira Browser Safety - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eg202ews.default\Extensions\abs@avira.com [2015-04-01]
FF Extension: Disconnect - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eg202ews.default\Extensions\2.0@disconnect.me.xpi [2014-12-03]
FF Extension: NoScript - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eg202ews.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2014-12-03]
FF Extension: Adblock Edge - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eg202ews.default\Extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi [2014-12-03]

Chrome: 
=======
CHR Profile: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Slides) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-12-03]
CHR Extension: (Google Docs) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-12-03]
CHR Extension: (Google Drive) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-12-03]
CHR Extension: (YouTube) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-12-03]
CHR Extension: (Google Search) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-12-03]
CHR Extension: (Google Sheets) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-12-03]
CHR Extension: (Avira Browser Safety) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2014-12-03]
CHR Extension: (AdBlock) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-12-03]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-17]
CHR Extension: (Google Wallet) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-12-03]
CHR Extension: (Gmail) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-12-03]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 AntiVirMailService; C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc7.exe [815920 2015-04-10] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [434424 2015-04-10] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [434424 2015-04-10] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [1004280 2015-04-10] (Avira Operations GmbH & Co. KG)
R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [77128 2015-01-19] (Apple Inc.)
R2 ShdServ; C:\Program Files\Shield\shdserv.exe [232984 2014-12-05] (Horizon Datasys, Inc.)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [128536 2015-03-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132120 2015-03-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2015-03-17] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [44088 2015-03-17] (Avira Operations GmbH & Co. KG)
R3 IntcAzAudAddService; C:\Windows\System32\drivers\RTDVHD64.sys [1980648 2010-10-04] (Realtek Semiconductor Corp.)
R0 Shdbus; C:\Windows\System32\DRIVERS\Shdbus.sys [30232 2014-12-05] (Horizon Datasys, Inc.)
R0 Shield; C:\Windows\System32\DRIVERS\shield.sys [76312 2014-12-05] (Horizon Datasys, Inc.)
R0 Shieldf; C:\Windows\System32\DRIVERS\Shieldf.sys [32280 2014-12-05] (Horizon Datasys, Inc.)
R0 Shieldm; C:\Windows\System32\DRIVERS\Shieldm.sys [35352 2014-12-05] (Horizon Datasys, Inc.)

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-04-11 07:53 - 2015-04-11 07:53 - 00010021 _____ () C:\Users\Admin\Downloads\FRST.txt
2015-04-11 07:52 - 2015-04-11 07:53 - 00000000 ____D () C:\FRST
2015-04-11 07:52 - 2015-04-11 07:52 - 02095616 _____ (Farbar) C:\Users\Admin\Downloads\FRST64.exe
2015-04-10 16:20 - 2015-04-10 16:20 - 00000000 ____D () C:\Users\Admin\Documents\bami
2015-04-10 16:16 - 2015-04-10 16:16 - 00443242 _____ () C:\Windows\PFRO.log
2015-04-10 16:07 - 2015-04-10 16:07 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2015-04-10 16:06 - 2015-04-10 16:08 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Avira
2015-04-10 16:05 - 2015-04-10 16:07 - 00000000 ____D () C:\ProgramData\Avira
2015-04-10 16:05 - 2015-04-10 16:05 - 00000000 ____D () C:\Program Files (x86)\Avira
2015-04-10 16:05 - 2015-03-17 13:01 - 00132120 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2015-04-10 16:05 - 2015-03-17 13:01 - 00128536 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2015-04-10 16:05 - 2015-03-17 13:01 - 00044088 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys
2015-04-10 16:05 - 2015-03-17 13:01 - 00028600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
2015-04-10 15:40 - 2015-04-10 15:40 - 00069632 _____ () C:\Users\Admin\Documents\china.evtx
2015-04-10 15:39 - 2015-04-10 15:39 - 17263248 _____ () C:\Users\Admin\Documents\preflib.reg
2015-04-10 15:38 - 2015-04-10 15:38 - 17265000 _____ () C:\Users\Admin\Documents\preflib_x64.reg
2015-04-10 15:25 - 2015-04-11 07:43 - 00000907 _____ () C:\Windows\setupact.log
2015-04-10 15:25 - 2015-04-10 15:25 - 00000000 _____ () C:\Windows\setuperr.log
2015-04-10 15:11 - 2015-04-10 15:11 - 00000000 ____D () C:\Windows\system32\appmgmt
2015-04-10 14:16 - 2015-04-10 14:20 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Apple Computer
2015-04-10 14:16 - 2015-04-10 14:16 - 00001753 _____ () C:\Users\Public\Desktop\iTunes.lnk
2015-04-10 14:16 - 2015-04-10 14:16 - 00000000 ____D () C:\Users\Admin\AppData\Local\Apple Computer
2015-04-10 14:16 - 2015-04-10 14:16 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
2015-04-10 14:16 - 2012-10-03 16:14 - 00033240 _____ (GEAR Software Inc.) C:\Windows\system32\Drivers\GEARAspiWDM.sys
2015-04-10 14:15 - 2015-04-10 14:16 - 00000000 ____D () C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
2015-04-10 14:15 - 2015-04-10 14:16 - 00000000 ____D () C:\Program Files\iTunes
2015-04-10 14:15 - 2015-04-10 14:15 - 00000000 ____D () C:\ProgramData\Apple Computer
2015-04-10 14:15 - 2015-04-10 14:15 - 00000000 ____D () C:\Program Files\iPod
2015-04-10 14:15 - 2015-04-10 14:15 - 00000000 ____D () C:\Program Files (x86)\iTunes
2015-04-10 14:13 - 2015-04-10 14:15 - 00000000 ____D () C:\Program Files\Common Files\Apple
2015-04-10 14:13 - 2015-04-10 14:13 - 00000000 ____D () C:\Users\Admin\AppData\Local\Apple
2015-04-10 14:13 - 2015-04-10 14:13 - 00000000 ____D () C:\Program Files\Bonjour
2015-04-10 14:13 - 2015-04-10 14:13 - 00000000 ____D () C:\Program Files (x86)\Bonjour
2015-04-10 14:12 - 2015-04-10 14:13 - 00000000 ____D () C:\ProgramData\Apple
2015-04-10 13:51 - 2015-04-10 13:51 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox
2015-03-31 16:16 - 2015-03-31 16:16 - 00000000 ____D () C:\Users\Admin\.pdfsam
2015-03-31 16:13 - 2015-03-31 16:13 - 00098216 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2015-03-31 16:13 - 2015-03-31 16:13 - 00000000 ____D () C:\ProgramData\Sun
2015-03-31 16:13 - 2015-03-31 16:13 - 00000000 ____D () C:\ProgramData\Oracle
2015-03-31 16:13 - 2015-03-31 16:13 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
2015-03-31 16:13 - 2015-03-31 16:13 - 00000000 ____D () C:\Program Files (x86)\Java
2015-03-31 16:11 - 2015-03-31 16:11 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Split And Merge Basic
2015-03-31 16:11 - 2015-03-31 16:11 - 00000000 ____D () C:\Program Files (x86)\PDF Split And Merge Basic
2015-03-24 11:57 - 2015-03-24 11:57 - 00000600 _____ () C:\Users\Admin\AppData\Local\PUTTY.RND
2015-03-24 11:27 - 2015-03-24 11:28 - 00001354 _____ () C:\Users\Admin\Desktop\putty.lnk
2015-03-24 11:27 - 2015-03-24 11:27 - 00000000 ____D () C:\Program Files (x86)\putty
2015-03-21 12:09 - 2015-03-21 12:09 - 00000000 ____D () C:\Windows\pss
2015-03-18 17:48 - 2015-03-18 17:48 - 13569522 _____ () C:\Users\Admin\Downloads\gs915w64.exe
2015-03-18 17:48 - 2015-03-18 17:48 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghostscript
2015-03-18 17:48 - 2015-03-18 17:48 - 00000000 ____D () C:\Program Files\gs

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-04-11 07:51 - 2009-07-14 06:45 - 00021888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-04-11 07:51 - 2009-07-14 06:45 - 00021888 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-04-11 07:47 - 2015-02-13 15:34 - 00107576 _____ () C:\Windows\WindowsUpdate.log
2015-04-11 07:43 - 2009-07-14 07:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-04-10 15:24 - 2014-12-03 15:43 - 00000822 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2015-04-10 15:24 - 2014-12-03 15:43 - 00000000 ____D () C:\Program Files\CCleaner
2015-04-10 15:17 - 2014-12-03 15:51 - 00000000 ____D () C:\ProgramData\Package Cache
2015-04-10 14:51 - 2015-02-13 15:31 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-04-10 13:54 - 2014-12-03 15:48 - 00778928 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2015-04-10 13:54 - 2014-12-03 15:48 - 00142512 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-04-10 13:54 - 2014-12-03 15:47 - 00000000 ____D () C:\Users\Admin\AppData\Local\Adobe
2015-03-31 16:16 - 2014-12-03 15:04 - 00000000 ____D () C:\Users\Admin
2015-03-24 11:57 - 2015-03-10 13:29 - 00000600 _____ () C:\Users\Admin\AppData\Roaming\winscp.rnd
2015-03-21 12:02 - 2014-12-03 15:46 - 00000000 ____D () C:\Users\Admin\Documents\My Digital Editions
2015-03-18 17:47 - 2014-12-05 10:02 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Scribus
2015-03-18 17:09 - 2010-11-21 08:50 - 00698688 _____ () C:\Windows\system32\perfh007.dat
2015-03-18 17:09 - 2010-11-21 08:50 - 00148828 _____ () C:\Windows\system32\perfc007.dat
2015-03-18 17:09 - 2009-07-14 07:13 - 01096226 _____ () C:\Windows\system32\PerfStringBackup.INI

==================== Files in the root of some directories =======

2015-03-10 13:29 - 2015-03-24 11:57 - 0000600 _____ () C:\Users\Admin\AppData\Roaming\winscp.rnd
2015-03-24 11:57 - 2015-03-24 11:57 - 0000600 _____ () C:\Users\Admin\AppData\Local\PUTTY.RND
2015-03-05 18:24 - 2015-03-05 18:24 - 0000218 _____ () C:\Users\Admin\AppData\Local\recently-used.xbel

Some content of TEMP:
====================
C:\Users\Admin\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-03-31 09:55

==================== End Of Log ============================
         
--- --- ---

--- --- ---


Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015
Ran by Admin at 2015-04-11 07:53:47
Running from C:\Users\Admin\Downloads
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: Avira Antivirus (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859}
AS: Avira Antivirus (Enabled - Up to date) {F665F2B2-DF77-27D1-BDD8-9197742422E4}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

7-Zip 9.20 (x64 edition) (HKLM\...\{23170F69-40C1-2702-0920-000001000000}) (Version: 9.20.00.0 - Igor Pavlov)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 17.0.0.124 - Adobe Systems Incorporated)
Adobe Digital Editions 2.0 (HKLM-x32\...\Adobe Digital Editions 2.0) (Version: 2.0.1 - Adobe Systems Incorporated)
Adobe Flash Player 17 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 17.0.0.134 - Adobe Systems Incorporated)
Adobe Flash Player 17 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 17.0.0.134 - Adobe Systems Incorporated)
Apple Application Support (32-Bit) (HKLM-x32\...\{AFA1153A-F547-409B-B837-3A0D6C5A3FEC}) (Version: 3.1.3 - Apple Inc.)
Apple Application Support (64-Bit) (HKLM\...\{D7B824DE-DA32-4772-9E5E-39C5158136A7}) (Version: 3.1.3 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{C4123106-B685-48E6-B9BD-E4F911841EB4}) (Version: 8.1.1.3 - Apple Inc.)
Arduino (HKLM-x32\...\Arduino) (Version: 1.6.0 - Arduino LLC)
Audacity 2.0.6 (HKLM-x32\...\Audacity_is1) (Version: 2.0.6 - Audacity Team)
Auslogics DiskDefrag (HKLM-x32\...\{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1) (Version: 5.1.0.0 - Auslogics Labs Pty Ltd)
Avira Antivirus (HKLM-x32\...\Avira Antivirus) (Version: 15.0.9.504 - Avira Operations GmbH & Co. KG)
Blender (HKLM\...\Blender) (Version: 2.73a - Blender Foundation)
Bonjour (HKLM\...\{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}) (Version: 3.0.0.10 - Apple Inc.)
calibre 64bit (HKLM\...\{EB3D23E3-91A7-46A0-9D7F-698151973A41}) (Version: 2.12.0 - Kovid Goyal)
CCleaner (HKLM\...\CCleaner) (Version: 5.04 - Piriform)
ClipGrab 3.4.9 (HKLM-x32\...\{8A1033B0-EF33-4FB5-97A1-C47A7DCDD7E6}_is1) (Version:  - Philipp Schmieder Medien)
Convo (HKLM-x32\...\convofy.0F156731A8EDAB9758133E30CA85B43DA5F59D40.1) (Version: 2015012901 - Scrybe, Inc.)
Convo (x32 Version: 255 - Scrybe, Inc.) Hidden
FreeCAD 0.14 - A free open source CAD system (HKLM-x32\...\FreeCAD 0.14) (Version: 0.14.3700 - Juergen Riegel)
GIMP 2.8.14 (HKLM\...\GIMP-2_is1) (Version: 2.8.14 - The GIMP Team)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 41.0.2272.118 - Google Inc.)
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.26.9 - Google Inc.) Hidden
GPL Ghostscript (HKLM\...\GPL Ghostscript 9.15) (Version: 9.15 - Artifex Software Inc.)
Inkscape 0.91 (HKLM\...\{81922150-317E-4BB0-A31D-FF1C14F707C5}) (Version: 0.91 - inkscape.org)
Intel(R) Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 7.1.70.1205 - Intel Corporation)
Intel(R) Network Connections Drivers (HKLM\...\PROSet) (Version: 18.1 - Intel)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.3517 - Intel Corporation)
Intel(R) SDK for OpenCL - CPU Only Runtime Package (HKLM-x32\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version: 2.0.0.37149 - Intel Corporation)
IrfanView (remove only) (HKLM-x32\...\IrfanView) (Version: 4.38 - Irfan Skiljan)
iTunes (HKLM\...\{93F2A022-6C37-48B8-B241-FFABD9F60C30}) (Version: 12.1.2.27 - Apple Inc.)
Java 8 Update 40 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218040F0}) (Version: 8.0.400 - Oracle Corporation)
LibreOffice 4.4.0.3 (HKLM-x32\...\{8BEE1CDD-F95D-4759-952D-6B38DF99D1F0}) (Version: 4.4.0.3 - The Document Foundation)
Microsoft .NET Framework 4.5.1 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft .NET Framework 4.5.1 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.50938 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (HKLM\...\{8220EEFE-38CD-377E-8595-13398D740ACE}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (HKLM-x32\...\{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}) (Version: 9.0.21022 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.51106 (HKLM-x32\...\{cb41fc68-4442-4f7f-b22f-8f31c74897ac}) (Version: 11.0.51106.1 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{7f51bdb9-ee21-49ee-94d6-90afc321780e}) (Version: 12.0.21005.1 - Microsoft Corporation)
Mozilla Firefox 37.0.1 (x86 de) (HKLM-x32\...\Mozilla Firefox 37.0.1 (x86 de)) (Version: 37.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 35.0.1 - Mozilla)
paint.net (HKLM\...\{19BD2C33-16A8-4ED1-B9EA-D9E35B21EC42}) (Version: 4.0.5 - dotPDN LLC)
PDF Split And Merge Basic (HKLM-x32\...\{9A40D2F8-9458-458B-95E3-B57797C574E1}) (Version: 2.2.4 - Andrea Vacondio)
PDF24 Creator 6.9.2 (HKLM-x32\...\{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1) (Version:  - PDF24.org)
Python 2.7 pyserial-2.7 (HKLM-x32\...\pyserial-py2.7) (Version:  - )
Python 2.7.9 (HKLM-x32\...\{79F081BF-7454-43DB-BD8F-9EE596813232}) (Version: 2.7.9150 - Python Software Foundation)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.5883 - Realtek Semiconductor Corp.)
Reboot Restore Rx (HKLM\...\Shield) (Version: 2.0 - Horizon Datasys, Inc.)
Scribus 1.4.4 (64bit) (HKLM\...\Scribus 1.4.4) (Version: 1.4.4 - The Scribus Team)
Scrivener (HKLM-x32\...\Scrivener 1850) (Version: 1850 - Literature and Latte)
Sigil 0.8.2 (HKLM\...\Sigil_is1) (Version:  - John Schember)
SumatraPDF (HKLM-x32\...\SumatraPDF) (Version: 3.0 - Krzysztof Kowalczyk)
VLC media player (HKLM\...\VLC media player) (Version: 2.1.5 - VideoLAN)
Win32DiskImager version 0.9.5 (HKLM-x32\...\{D074CE74-912A-4AD3-A0BF-3937D9D01F17}_is1) (Version: 0.9.5 - ImageWriter Developers)
WinSCP 5.7 (HKLM-x32\...\winscp3_is1) (Version: 5.7 - Martin Prikryl)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

CustomCLSID: HKU\S-1-5-21-1948373623-948986961-338287050-1000_Classes\CLSID\{D45F043D-F17F-4e8a-8435-70971D9FA46D}\InprocServer32 -> C:\Program Files\Blender Foundation\Blender\BlendThumb64.dll ()

==================== Restore Points  =========================

17-03-2015 10:15:21 Geplanter Prüfpunkt
31-03-2015 10:36:32 Geplanter Prüfpunkt
31-03-2015 16:11:02 Installed PDF Split And Merge Basic
10-04-2015 14:14:05 Installed iTunes
10-04-2015 15:10:11 Removed Apple Software Update

==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {22414C7B-33EA-4E29-91F7-6B1F249CE8FD} - System32\Tasks\Shutdown => shutdown
Task: {37BAC564-C9FA-498A-9C81-8BBF4C3E33BF} - System32\Tasks\shutdown do => shutdown
Task: {5A07AC3B-AC1B-4B26-9468-8C2B8D01C0D9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-03] (Google Inc.)
Task: {718A76A9-0B33-4D36-B397-18E0DAF5F0FD} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-03] (Google Inc.)
Task: {C55008EB-8793-4D74-A1EC-128FFAA3DF28} - System32\Tasks\shutdown sa => shutdown
Task: {E7F0E6F7-7E2C-4488-AF62-C6684A0D531A} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-03-13] (Piriform Ltd)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

==================== Loaded Modules (whitelisted) ==============

2015-03-20 18:12 - 2015-03-20 18:12 - 00085832 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
2015-03-20 18:12 - 2015-03-20 18:12 - 01346344 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
2014-07-09 07:16 - 2014-03-20 15:34 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2014-12-05 10:25 - 2014-12-05 10:25 - 00015896 _____ () C:\Program Files\Shield\shdservps.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)


==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)


==================== EXE Association (whitelisted) ===============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== Other Areas ============================

(Currently there is no automatic fix for this section.)

HKU\S-1-5-21-1948373623-948986961-338287050-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.1.1

==================== MSCONFIG/TASK MANAGER disabled items ==

(Currently there is no automatic fix for this section.)

MSCONFIG\startupfolder: C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Convo.lnk => C:\Windows\pss\Convo.lnk.Startup
MSCONFIG\startupreg: CCleaner Monitoring => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
MSCONFIG\startupreg: iTunesHelper => "C:\Program Files\iTunes\iTunesHelper.exe"
MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

==================== Accounts: =============================

Admin (S-1-5-21-1948373623-948986961-338287050-1000 - Administrator - Enabled) => C:\Users\Admin
Administrator (S-1-5-21-1948373623-948986961-338287050-500 - Administrator - Disabled)
Gast (S-1-5-21-1948373623-948986961-338287050-501 - Limited - Disabled)

==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (04/11/2015 07:47:53 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3001) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "㧼㨜㨤㨬㨼㩈㩨㩴㪔㪜㪤㪰㫐㫘㫬㫸㬀㬘㬠㬨㬸㭀㭈㭐㭘㭠㭨㭰㭸㮀㮈㮐㮘㮠㮨㮰㮸㯈㯐㯘㯠㯬㯴㰘㰬㰼㱄㱌㱔㱬㱴㱼㲌㲔㲜㲤㲰㲸㳜㳰㴈㴐㴘㴰㴸㵀㵈㵜㵤㵬㵴㵸㶀㶔㶤㶸㷀㷜㷤㸄㸘㸠㸼㹄㹠㺀㺈㺐㺘㺠㺨㺰㺸㻀㻈㻐㻘㻠㻨㻰㻸㼀㼈㼔㼴㽀㽨㾌㾘㾠㿀㿤㿰㿸ꀀǴ". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (04/11/2015 07:44:40 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (04/10/2015 04:17:53 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


System errors:
=============
Error: (04/11/2015 07:43:14 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎10.‎04.‎2015 um 16:19:36 unerwartet heruntergefahren.

Error: (04/10/2015 04:16:36 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎10.‎04.‎2015 um 16:13:13 unerwartet heruntergefahren.


Microsoft Office Sessions:
=========================
Error: (04/11/2015 07:47:53 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3001) (User: NT-AUTORITÄT)
Description: 㧼㨜㨤㨬㨼㩈㩨㩴㪔㪜㪤㪰㫐㫘㫬㫸㬀㬘㬠㬨㬸㭀㭈㭐㭘㭠㭨㭰㭸㮀㮈㮐㮘㮠㮨㮰㮸㯈㯐㯘㯠㯬㯴㰘㰬㰼㱄㱌㱔㱬㱴㱼㲌㲔㲜㲤㲰㲸㳜㳰㴈㴐㴘㴰㴸㵀㵈㵜㵤㵬㵴㵸㶀㶔㶤㶸㷀㷜㷤㸄㸘㸠㸼㹄㹠㺀㺈㺐㺘㺠㺨㺰㺸㻀㻈㻐㻘㻠㻨㻰㻸㼀㼈㼔㼴㽀㽨㾌㾘㾠㿀㿤㿰㿸ꀀǴ16000000009E2500009F250000600B0000

Error: (04/11/2015 07:44:40 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (04/10/2015 04:17:53 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


==================== Memory info =========================== 

Processor: Intel(R) Core(TM) i3-2120 CPU @ 3.30GHz
Percentage of memory in use: 32%
Total physical RAM: 3977.02 MB
Available physical RAM: 2670.58 MB
Total Pagefile: 7952.23 MB
Available Pagefile: 6438.21 MB
Total Virtual: 8192 MB
Available Virtual: 8191.81 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:232.88 GB) (Free:189.27 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 232.9 GB) (Disk ID: CA4ACA4A)
Partition 1: (Active) - (Size=232.9 GB) - (Type=07 NTFS)

==================== End Of Log ============================
         

Die Festplatte hat meistens einen Schreibschutz aktiv, der durch die Software "RebootRestore" (Link zum Hersteller) ermöglicht wird. Damit eben getestete Änderungen nicht übernommen werden, aber für bestimmte Sachen wird der Schutz hin und wieder deaktiviert. Der PC ist zwar nur eine Sandbox und ich habe ein Image zur Hand, aber mich würde es dennoch interessieren, ob eines der Programme dafür verantwortlich ist, weil dann bringt mir das Image auch nichts auf lange Sicht.

Danke vielmals!
__________________

Alt 11.04.2015, 19:07   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an - Standard

Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an



hi,

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an
antivir, asiatisch, avira, blockiert, code, counter, file, folge, hijack, hijackthis, log, log file, malwarebytes, microsoft, namen, nichts, offen, registry, scan, software, version, win, win7, windows, windows 7 64 bit, wurm, zugriff



Ähnliche Themen: Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an


  1. Avira Echtzeit-Scanner: Zugriff auf Registry wurde blockiert - die Zweite -
    Plagegeister aller Art und deren Bekämpfung - 26.05.2015 (21)
  2. Avira Echtzeit-Scanner: Zugriff auf Registry wurde blockiert
    Plagegeister aller Art und deren Bekämpfung - 07.05.2015 (28)
  3. Windows 8.1: Trojaner Crypt.Xpac,Infected.Webpage,.. /Registry-Zugriff
    Log-Analyse und Auswertung - 12.04.2015 (45)
  4. Windows 7 meldet beim Start 'RegSvr32 Fehler beim Laden des Moduls "". ' seit mit Avira Malware entfernt wurde
    Log-Analyse und Auswertung - 10.10.2014 (22)
  5. Windows 7: Avira wurde durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 11.06.2014 (17)
  6. Avira meldet ADWARE/DomaIQ.24569 + Defogger-Download blockiert
    Plagegeister aller Art und deren Bekämpfung - 07.04.2014 (13)
  7. Firewall meldet Zugriff auf File 1SKKKKKKK.exe
    Log-Analyse und Auswertung - 04.04.2014 (12)
  8. Virus / Trojaner blockiert Avira "...wurde durch eine Gruppenrichtlinie blockiert"
    Log-Analyse und Auswertung - 20.03.2014 (7)
  9. Windows XP: Avira meldet mehrere Trojaner, wurde beim Online Banking auf falsche Seite geleitet...
    Log-Analyse und Auswertung - 09.09.2013 (13)
  10. ESET meldet Zugriff auf Seite blockiert - im Log steht Variante von Win32/Kryptik.BEFI
    Plagegeister aller Art und deren Bekämpfung - 27.06.2013 (19)
  11. Avira meldet JS/Blacole.KH.3 und KH.2 - Server wurde per Ftp infiziert
    Log-Analyse und Auswertung - 10.02.2013 (1)
  12. TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun?
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (54)
  13. Windows wurde blockiert - Avira - 50 Euro Virus
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (15)
  14. ... wurde ihr Windowssystem blockiert ; Weder Registry- noch Programmtipps erfolgreich
    Log-Analyse und Auswertung - 16.02.2012 (1)
  15. Warnmeldung von Avira Y: autorun.inf' - Zugriff aus Sicherheitsgründen blockiert
    Plagegeister aller Art und deren Bekämpfung - 23.09.2011 (40)
  16. PC wurde von profi gehackt, wie weiß ich nach dass er zugriff hatte ? log file ? etc
    Überwachung, Datenschutz und Spam - 05.11.2010 (2)
  17. Hilfe PC fährt nciht hoch und zeigt sonderbare zeichen
    Netzwerk und Hardware - 27.04.2007 (1)

Zum Thema Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an - Hallo, ich bin mir nicht ganz sicher was einen PC (Win7 64bit, uptodate, Hostname: Sandbox) plagt. Es ist AntiVir 2015 installiert und findet bei einem Scan nichts aussergewöhnliches. Vermeldet aber - Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an...
Archiv
Du betrachtest: Avira meldet Zugriff auf Registry wurde blockiert, Windows Log File zeigt asiatische Zeichen an auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.