Systemsuchlauf Antivir - versteckter Treiber - gefährlich? - mit Vorgeschichte

deeprybka · 12.04.2015, 18:48

Zitat:

Zitat von Sakashima

Du hast wahrscheinlich die gigantische Datenflut erahnt, die ich zu dem Treiber gefunden habe.

Warum soll es Dir besser gehen als unseren Studenten.

Combofix wird oft falsch detektiert, außerdem soll es bei der Arbeit nicht gestört werden.
Avira mach das besonders gern...

Schritt 1
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
(NEUE VERSION)

Download und Anleitung
Starte Malwarebytes' Anti-Malware (MBAM).
Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Schritt 3

Bitte starte FRST erneut, und drücke auf Scan.
Bitte poste mir den Inhalt des Logs.

Schritt 4
Downloade dir bitte

Farbar Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Sakashima · 13.04.2015, 12:21

Zitat:

Zitat von deeprybka

Warum soll es Dir besser gehen als unseren Studenten.

Welche Studenten denn? Bist du etwa Professor?

Oder meinst du die hier vom Board? Das mit der Ausbildung hier klingt interessant. Momentan hab ich keine Zeit dafür (davon mal abgesehen, das auch keine Plätze frei sind

), aber ich werde das im Hinterkopf behalten.

Das Windows Wartungscenter bemängelt seit ich Combofix hab laufen lassen, dass ich weder Antivirenprogramm noch Spywareschutz habe. Da ich bei beiden Antivir nicht aktiviert bekomme, habe ich zumindest den Windows Defender angeknipst.

Avira selbst meldet jedoch: "All systems within normal parameters."

(also alles grün)

So und nun die logs:

adwcleaner

Code:

ATTFilter

# AdwCleaner v4.201 - Bericht erstellt 12/04/2015 um 20:12:41
# Aktualisiert 08/04/2015 von Xplode
# Datenbank : 2015-04-08.1 [Server]
# Betriebssystem : Windows 7 Professional Service Pack 1 (x86)
# Benutzername : Chibichan - CHIBICHAN-PC
# Gestarted von : C:\Users\Chibichan\Desktop\AdwCleaner_4.201.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\SearchProtect
Ordner Gelöscht : C:\ProgramData\ICQ\ICQToolbar
Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\ProgramData\Premium
Ordner Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FLV Player
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Program Files\ICQ6Toolbar
Ordner Gelöscht : C:\Program Files\FLV Player
Ordner Gelöscht : C:\Program Files\entrusted
Ordner Gelöscht : C:\windows\system32\SearchProtect
Ordner Gelöscht : C:\Users\Administrator\AppData\Roaming\DesktopIconForAmazon
Ordner Gelöscht : C:\Users\Arbeit\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Arbeit\AppData\Roaming\GrabPro
Ordner Gelöscht : C:\Users\Arbeit\AppData\Roaming\ProgSense
Ordner Gelöscht : C:\Users\Chibichan\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\Chibichan\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Chibichan\AppData\LocalLow\entrusted
Ordner Gelöscht : C:\Users\Chibichan\AppData\Roaming\GrabPro
Ordner Gelöscht : C:\Users\Chibichan\AppData\Roaming\OpenCandy
Ordner Gelöscht : C:\Users\Chibichan\AppData\Roaming\pdfforge
Ordner Gelöscht : C:\Users\Chibichan\AppData\Roaming\ProgSense

***** [ Geplante Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}]
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2613550
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2645238
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT3281675
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{e44a1809-4d10-4ab8-b343-3326b64c7cdd}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{01335480-2AED-4070-AFF3-B4C8BC22FF35}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e44a1809-4d10-4ab8-b343-3326b64c7cdd}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{000123B4-9B42-4900-B3F7-F4B073EFC214}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{000123B4-9B42-4900-B3F7-F4B073EFC214}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{e44a1809-4d10-4ab8-b343-3326b64c7cdd}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{01335480-2AED-4070-AFF3-B4C8BC22FF35}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4250488A-CB24-0893-C066-B1AEA57BCFF2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1F1DE6A3-B37D-4EFC-9853-8E82E191CCB3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F369555F-5D3A-4512-B650-5981AEEEB248}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{e44a1809-4d10-4ab8-b343-3326b64c7cdd}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{e44a1809-4d10-4ab8-b343-3326b64c7cdd}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{e44a1809-4d10-4ab8-b343-3326b64c7cdd}]
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Schlüssel Gelöscht : HKCU\Software\Ciuvo
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\systweak
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKCU\Software\ProgSense
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Toolbar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Toolbar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\entrusted
Schlüssel Gelöscht : HKLM\SOFTWARE\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\dt soft\daemon tools toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\ICQ\ICQToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\entrusted
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DesktopIconAmazon
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FLV Player
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\entrusted Toolbar
Daten Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - 208.188.3.9:3128

***** [ Internetbrowser ] *****

-\\ Internet Explorer v11.0.9600.17689

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v37.0.1 (x86 de)

[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asmx/ReportDiagnosticsEvent");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/RegisterToolbarUninstallation");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=2&q=");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_TOOLBAR_ID");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageService.asmx/UsersRequests?ctid=EB_TOOLBAR_ID");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2613550");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,client.conduit-storage.com,OurToolbar.com,CommunityToolbars.com,ForumToolbar.com,MyBlogToolbar.com,MyCity[...]
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.conduit.com;apps.conduit.com;services.apps.conduit.com\",\"AppsDetectionUrlPattern\":\"hxxp://appdown[...]
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOrigin=29&ctid=EB_TOOLBAR_ID&octid=EB_ORIGINAL_CTID");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT2613550.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?ComponentId=EB_MY_STUFF_INSTANCE_GUID&lut=EB_MY_STUFF_LUT");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT3281675.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3281675&SearchSource=2&CUI=UN89646785518971970&UM=2&q=");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT3281675.installId", "conduitinstaller.exe");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT3281675.installType", "conduitnsisintegration");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT3281675.smartbar.CTID", "CT3281675");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT3281675.smartbar.Uninstall", "0");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT3281675.smartbar.homepage", true);
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CT3281675.smartbar.toolbarName", "entrusted ");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT2613550&SearchSource=13");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ConduitSearchList", "ZoneAlarm-Sicherheit Customized Web Search");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://Settings.toolbar.search.conduit.com/root/ct2613550/CT2613550", "\"2807e408f5757591aa14689b75d39e791\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2613550", "\"0\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=ct2613550", "\"0\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&locale=de-de", "oIwsta2spzadhjRgiY1Nhw==");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&locale=de-de", "WiZSpHJzJ/uTUKvfHHyj/w==");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&locale=de-de", "9H/gICSaMqbmx+Gd+8W4Sg==");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&locale=de-de", "eJfMrdrGnhGHiiPiYjgAww==");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\"07879643d3acc1:0\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12.0.7", "\"4ead38b3e6bcd1:0\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12.2.3", "\"4ead38b3e6bcd1:0\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.6.0.10", "\"80ee9485875dcc1:0\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2613550", "\"d76323372b05c3748a3d6b1c93a98292\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2613550&octid=CT2613550", "\"1313417096\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=ct2613550&octid=CT2613550", "\"1313417096\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/50/261/CT2613550/Images/634084971246361250.png", "\"462e8b16c4eaca1:0\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=EB_LOCALE", "\"90a6f50158fc69d971d4e5b58046cce2\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=de-de", "\"3a779855433a7a6268bdb0458a7b4d5e\"");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\Chibichan\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\vq9cw3ls.default\\conduitCommon\\modules\\3.6.0.10");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.6.0.10");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2613550");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2613550");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.ToolbarsList4", "CT2613550");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Tue Sep 20 2011 11:24:49 GMT+0200");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.globalUserId", "212f376f-5705-43a1-9559-f52a9e1f750b");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2613550");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Tue Sep 20 2011 11:24:30 GMT+0200");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.locale", "en");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Tue Sep 20 2011 11:24:26 GMT+0200");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("CommunityToolbar.notifications.userId", "47d38819-e5a4-4542-be3d-e9979c552c88");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3281675&octid=CT3281675&SearchSource=61&CUI=UN89646785518971970&UM=2&UP=SPCDFB5174-8A00-4653-9E92-F001E8C8094D");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("Smartbar.ConduitSearchEngineList", "entrusted Customized Web Search");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3281675&SearchSource=2&CUI=UN89646785518971970&UM=2&q=");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=2&q=");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("Smartbar.keywordURLSelectedCTID", "CT3281675");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("browser.search.defaultthis.engineName", "ZoneAlarm-Sicherheit Customized Web Search");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3281675&SearchSource=2&CUI=UN89646785518971970&UM=2&q=");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("smartbar.conduitHomepageList", "hxxp://search.conduit.com/?ctid=CT3281675&octid=CT3281675&SearchSource=61&CUI=UN89646785518971970&UM=2&UP=SPCDFB5174-8A00-4653-9E92-F001E8C8094D,hxxp://searc[...]
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("smartbar.conduitSearchAddressUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3281675&SearchSource=2&CUI=UN89646785518971970&UM=2&q=");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("smartbar.originalHomepage", "hxxp://search.conduit.com/?ctid=CT3281675&octid=CT3281675&SearchSource=61&CUI=UN89646785518971970&UM=2&UP=SPCDFB5174-8A00-4653-9E92-F001E8C8094D");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("smartbar.originalSearchAddressUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=2&q=");
[vq9cw3ls.default\prefs.js] - Zeile Gelöscht : user_pref("smartbar.originalSearchEngine", false);

*************************

AdwCleaner[R0].txt - [18298 Bytes] - [12/04/2015 20:08:30]
AdwCleaner[S0].txt - [17740 Bytes] - [12/04/2015 20:12:41]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [17800  Bytes] ##########

MBAM:

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 12.04.2015
Suchlauf-Zeit: 20:36:36
Logdatei: mbam.txt
Administrator: Ja

Version: 2.01.4.1018
Malware Datenbank: v2015.04.12.02
Rootkit Datenbank: v2015.03.31.01
Lizenz: Testversion
Malware Schutz: Aktiviert
Bösartiger Webseiten Schutz: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x86
Dateisystem: NTFS
Benutzer: Chibichan

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 412887
Verstrichene Zeit: 58 Min, 26 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Tiefer Rootkit-Suchlauf: Aktiviert
Heuristik: Aktiviert
PUP: Warnen
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente gefunden)

Module: 0
(Keine schädliche Elemente gefunden)

Registrierungsschlüssel: 1
PUP.Optional.SearchProtect.A, HKU\S-1-5-21-1675562717-242507097-1823633445-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}, In Quarantäne, [04ae70fb0a8042f414c799a114efc43c], 

Registrierungswerte: 0
(Keine schädliche Elemente gefunden)

Registrierungsdaten: 0
(Keine schädliche Elemente gefunden)

Ordner: 2
PUP.Optional.Installmate, C:\ProgramData\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}, In Quarantäne, [5c569bd033571d19b2df0b99bb48649c], 
PUP.Optional.Installmate, C:\ProgramData\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}\12296D09F0C6E006, In Quarantäne, [5c569bd033571d19b2df0b99bb48649c], 

Dateien: 5
PUP.Optional.Installmate, C:\ProgramData\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}\Setup.exe, In Quarantäne, [5c569bd033571d19b2df0b99bb48649c], 
PUP.Optional.Installmate, C:\ProgramData\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}\Setup.ico, In Quarantäne, [5c569bd033571d19b2df0b99bb48649c], 
PUP.Optional.Installmate, C:\ProgramData\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}\TsuDll.dll, In Quarantäne, [5c569bd033571d19b2df0b99bb48649c], 
PUP.Optional.Installmate, C:\ProgramData\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}\_Setup.dll, In Quarantäne, [5c569bd033571d19b2df0b99bb48649c], 
PUP.Optional.Installmate, C:\ProgramData\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}\_Setupx.dll, In Quarantäne, [5c569bd033571d19b2df0b99bb48649c], 

Physische Sektoren: 0
(Keine schädliche Elemente gefunden)


(end)

FRST:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 11-03-2015
Ran by Chibichan (administrator) on CHIBICHAN-PC on 12-04-2015 22:03:38
Running from C:\Users\Chibichan\Downloads
Loaded Profiles: Chibichan &  (Available profiles: Chibichan & Arbeit & Administrator)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(Check Point Software Technologies LTD) C:\Program Files\CheckPoint\ZoneAlarm\vsmon.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe
(SAMSUNG Electronics) C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe
() C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe
() C:\Windows\System32\Rezip.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\My Avira\Avira.OE.ServiceHost.exe
(Intel Corporation) C:\Windows\System32\igfxext.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbam.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Check Point Software Technologies LTD) C:\Program Files\CheckPoint\ZoneAlarm\zatray.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
() C:\Program Files\DivX\DivX Update\DivXUpdate.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\My Avira\Avira.OE.Systray.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Users\Chibichan\Desktop\Tor Browser\Browser\firefox.exe
() C:\Users\Chibichan\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [ZoneAlarm] => C:\Program Files\CheckPoint\ZoneAlarm\zatray.exe [73360 2011-12-18] (Check Point Software Technologies LTD)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1713448 2010-02-26] (Synaptics Incorporated)
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [7625248 2009-07-21] (Realtek Semiconductor)
HKLM\...\Run: [APSDaemon] => C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.)
HKLM\...\Run: [DivXMediaServer] => C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe [448856 2014-08-19] (DivX, LLC)
HKLM\...\Run: [DivXUpdate] => C:\Program Files\DivX\DivX Update\DivXUpdate.exe [1861968 2014-01-10] ()
HKLM\...\Run: [QuickTime Task] => C:\Program Files\QuickTime\QTTask.exe [421888 2014-10-02] (Apple Inc.)
HKLM\...\Run: [Avira Systray] => C:\Program Files\Avira\My Avira\Avira.OE.Systray.exe [129272 2015-03-16] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [avgnt] => C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [726320 2015-03-31] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-1675562717-242507097-1823633445-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\windows\system32\scrnsave.scr [10240 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\RunOnce: [SPReview] => C:\windows\System32\SPReview\SPReview.exe [280576 2011-06-22] (Microsoft Corporation)
HKU\S-1-5-21-1675562717-242507097-1823633445-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\Run: [ICQ] => "C:\Program Files\ICQ7.2\ICQ.exe" silent loginmode=4
HKU\S-1-5-21-1675562717-242507097-1823633445-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\...\Run: [DAEMON Tools Lite] => C:\Program Files\DAEMON Tools Lite\daemon.exe [691656 2009-04-23] (DT Soft Ltd)
HKU\S-1-5-18\...\RunOnce: [SpUninstallDeleteDir] => rmdir /s /q "\SearchProtect"

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1675562717-242507097-1823633445-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-1675562717-242507097-1823633445-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.google.de/ig
HKU\S-1-5-21-1675562717-242507097-1823633445-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
HKU\S-1-5-21-1675562717-242507097-1823633445-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
SearchScopes: HKLM -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1675562717-242507097-1823633445-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
SearchScopes: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2012-12-18] (Adobe Systems Incorporated)
BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll [2013-08-14] (RealDownloader)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll [2012-10-28] (Oracle Corporation)
BHO: ZoneAlarm Security Engine Registrar -> {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} -> C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2011-11-03] (Check Point Software Technologies)
BHO: Windows Live Anmelde-Hilfsprogramm -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22] (Microsoft Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO: AviraBrowserSafety.BrowserSafety -> {c3c77255-42c0-499f-b664-6e981a0b1647} -> C:\windows\system32\mscoree.dll [2010-11-05] (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll [2012-10-28] (Oracle Corporation)
Toolbar: HKLM - ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2011-11-03] (Check Point Software Technologies)
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1000 -> ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2011-11-03] (Check Point Software Technologies)
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll [2011-11-03] (Check Point Software Technologies)
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {91DA5E8A-3318-4F8C-B67E-5964DE3AB546} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Handler: abs - {E00957BD-D0E1-4eb9-A025-7743FDC8B27B} - C:\windows\system32\mscoree.dll [2010-11-05] (Microsoft Corporation)
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.14.0.8064.0206.dll [2009-02-06] (Microsoft Corporation)
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.14.0.8064.0206.dll [2009-02-06] (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

FireFox:
========
FF ProfilePath: C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default
FF DefaultSearchEngine: Startpage (SSL)
FF Homepage: about:blank
FF Plugin: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF32_16_0_0_305.dll [2015-02-05] ()
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 -> C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll [2014-05-22] (DivX, LLC.)
FF Plugin: @divx.com/DivX Web Player Plug-In,version=1.0.0 -> C:\Program Files\DivX\DivX Web Player\npdivx32.dll [2014-08-13] (DivX, LLC)
FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [2011-01-12] (Foxit Corporation)
FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\windows\system32\npDeployJava1.dll [2012-10-28] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.9.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll [2012-10-28] (Oracle Corporation)
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin: @microsoft.com/WLPG,version=14.0.8064.0206 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [2009-02-06] (Microsoft Corporation)
FF Plugin: @real.com/nppl3260;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll [2013-10-20] (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.3 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll [2013-08-14] (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.3 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll [2013-08-14] (RealNetworks, Inc.)
FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.3 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll [2013-08-14] (RealNetworks, Inc.)
FF Plugin: @real.com/nprpplugin;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll [2013-10-20] (RealPlayer)
FF Plugin: @realnetworks.com/npdlplugin;version=1 -> C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll [2013-08-14] (RealDownloader)
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-05] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-05] (Google Inc.)
FF Plugin: @videolan.org/vlc,version=1.1.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2010-08-27] (the VideoLAN Team)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2012-12-18] (Adobe Systems Inc.)
FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Mozilla Firefox\plugins\npyaxmpb.dll [2007-03-10] (Yahoo! Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\np-mswmp.dll [2007-04-10] (Microsoft Corporation)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npDivxPlayerPlugin.dll [2009-11-14] (DivX, Inc)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\nppdf32.dll [2012-12-18] (Adobe Systems Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\nppl3260.dll [2013-10-20] (RealNetworks, Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npqtplugin.dll [2014-11-22] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npqtplugin2.dll [2014-11-22] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npqtplugin3.dll [2014-11-22] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npqtplugin4.dll [2014-11-22] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npqtplugin5.dll [2014-11-22] (Apple Inc.)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\nprpplugin.dll [2013-10-20] (RealPlayer)
FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npyaxmpb.dll [2007-03-10] (Yahoo! Inc.)
FF SearchPlugin: C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\searchplugins\avira-safesearch.xml [2014-03-22]
FF SearchPlugin: C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\searchplugins\englische-ergebnisse.xml [2014-05-31]
FF SearchPlugin: C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\searchplugins\ixquick-https.xml [2014-11-28]
FF SearchPlugin: C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\searchplugins\lastminute.xml [2014-05-31]
FF SearchPlugin: C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\searchplugins\startpage-ssl.xml [2014-12-02]
FF Extension: Avira Browser Safety - C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\Extensions\abs@avira.com [2015-03-31]
FF Extension: HTTPS-Everywhere - C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\Extensions\https-everywhere@eff.org [2015-04-11]
FF Extension: WEB.DE MailCheck - C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\Extensions\toolbar@web.de.xpi [2013-09-23]
FF Extension: Adblock Plus - C:\Users\Chibichan\AppData\Roaming\Mozilla\Firefox\Profiles\vq9cw3ls.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2011-06-11]
FF HKLM\...\Firefox\Extensions: [{DF153AFF-6948-45d7-AC98-4FC4AF8A08E2}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext
FF Extension: RealDownloader - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext [2013-10-20]

Chrome: 
=======
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-08-14]

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 AntiVirMailService; C:\Program Files\Avira\AntiVir Desktop\avmailc7.exe [815920 2015-03-31] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [434424 2015-03-31] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [434424 2015-03-31] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files\Avira\AntiVir Desktop\avwebg7.exe [1004280 2015-03-31] (Avira Operations GmbH & Co. KG)
R2 Avira.OE.ServiceHost; C:\Program Files\Avira\My Avira\Avira.OE.ServiceHost.exe [201008 2015-03-16] (Avira Operations GmbH & Co. KG)
S4 IswSvc; C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe [497280 2011-11-03] (Check Point Software Technologies)
R2 MBAMScheduler; C:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe [1871160 2015-03-17] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe [1080120 2015-03-17] (Malwarebytes Corporation)
R2 OberonGameConsoleService; C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe [44312 2009-08-13] ()
S4 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-08-14] ()
R2 Rezip; C:\windows\SYSTEM32\Rezip.exe [311296 2009-03-05] () [File not signed]
R2 vsmon; C:\Program Files\CheckPoint\ZoneAlarm\vsmon.exe [2420616 2011-12-18] (Check Point Software Technologies LTD)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 avgntflt; C:\windows\System32\DRIVERS\avgntflt.sys [105864 2015-03-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\windows\System32\DRIVERS\avipbb.sys [136216 2015-03-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\windows\System32\DRIVERS\avkmgr.sys [37352 2015-03-17] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\windows\System32\DRIVERS\avnetflt.sys [37896 2015-03-17] (Avira Operations GmbH & Co. KG)
R2 ISWKL; C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys [27016 2011-11-03] (Check Point Software Technologies)
R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [23256 2015-03-17] (Malwarebytes Corporation)
R3 MBAMSwissArmy; C:\windows\system32\drivers\MBAMSwissArmy.sys [119512 2015-04-12] (Malwarebytes Corporation)
R3 MBAMWebAccessControl; C:\windows\system32\drivers\mwac.sys [51928 2015-03-17] (Malwarebytes Corporation)
R0 sptd; C:\windows\System32\Drivers\sptd.sys [721904 2010-07-05] () [File not signed]
R1 ssmdrv; C:\windows\System32\DRIVERS\ssmdrv.sys [28520 2015-03-17] (Avira GmbH)
R1 Vsdatant; C:\windows\System32\DRIVERS\vsdatant.sys [455256 2011-05-07] (Check Point Software Technologies LTD)
U3 adw41b7q; C:\windows\system32\Drivers\adw41b7q.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero size file/folder)
S3 catchme; \??\C:\Users\CHIBIC~1\AppData\Local\Temp\catchme.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-04-12 21:50 - 2015-04-12 21:50 - 00002446 _____ () C:\Users\Chibichan\Desktop\mbam.txt
2015-04-12 20:36 - 2015-04-12 21:42 - 00119512 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\MBAMSwissArmy.sys
2015-04-12 20:34 - 2015-04-12 20:34 - 00001060 _____ () C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2015-04-12 20:34 - 2015-04-12 20:34 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2015-04-12 20:34 - 2015-04-12 20:34 - 00000000 ____D () C:\Program Files\ Malwarebytes Anti-Malware 
2015-04-12 20:34 - 2015-03-17 06:15 - 00092888 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\mbamchameleon.sys
2015-04-12 20:34 - 2015-03-17 06:15 - 00051928 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\mwac.sys
2015-04-12 20:32 - 2015-04-12 20:32 - 21540440 _____ (Malwarebytes Corporation ) C:\Users\Chibichan\Desktop\mbam-setup-2.1.4.1018.exe
2015-04-12 20:22 - 2015-04-12 20:22 - 00017881 _____ () C:\Users\Chibichan\Desktop\AdwCleaner[S0].txt
2015-04-12 20:08 - 2015-04-12 20:13 - 00000000 ____D () C:\AdwCleaner
2015-04-12 20:05 - 2015-04-12 20:05 - 02217984 _____ () C:\Users\Chibichan\Desktop\AdwCleaner_4.201.exe
2015-04-12 18:59 - 2015-04-12 18:59 - 00020622 _____ () C:\ComboFix.txt
2015-04-12 18:12 - 2015-04-12 19:00 - 00000000 ____D () C:\Qoobox
2015-04-12 18:12 - 2011-06-26 08:45 - 00256000 _____ () C:\windows\PEV.exe
2015-04-12 18:12 - 2010-11-07 19:20 - 00208896 _____ () C:\windows\MBR.exe
2015-04-12 18:12 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\windows\NIRCMD.exe
2015-04-12 18:12 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\windows\SWREG.exe
2015-04-12 18:12 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\windows\SWSC.exe
2015-04-12 18:12 - 2000-08-31 02:00 - 00098816 _____ () C:\windows\sed.exe
2015-04-12 18:12 - 2000-08-31 02:00 - 00080412 _____ () C:\windows\grep.exe
2015-04-12 18:12 - 2000-08-31 02:00 - 00068096 _____ () C:\windows\zip.exe
2015-04-12 18:11 - 2015-04-12 18:56 - 00000000 ____D () C:\windows\erdnt
2015-04-12 18:05 - 2015-04-12 18:05 - 05617275 ____R () C:\Users\Chibichan\Desktop\ComboFix.exe
2015-04-11 19:38 - 2015-04-11 19:38 - 00001222 _____ () C:\Users\Chibichan\Desktop\Revo Uninstaller.lnk
2015-04-11 19:38 - 2015-04-11 19:38 - 00000000 ____D () C:\Program Files\VS Revo Group
2015-04-11 19:37 - 2015-04-11 19:37 - 02623656 _____ (VS Revo Group Ltd.) C:\Users\Chibichan\Desktop\revosetup95.exe
2015-04-11 18:29 - 2015-04-11 18:31 - 00000000 ____D () C:\Users\Chibichan\Desktop\RevoUninstallerPortable
2015-04-11 18:26 - 2015-04-11 18:26 - 02785665 _____ (PortableApps.com) C:\Users\Chibichan\Desktop\RevoUninstallerPortable_1.95_Rev_2.paf.exe
2015-04-10 23:12 - 2015-04-10 23:13 - 00000000 ___SD () C:\windows\system32\GWX
2015-04-10 22:56 - 2015-04-10 22:59 - 00039056 _____ () C:\Users\Chibichan\Downloads\Addition.txt
2015-04-10 22:52 - 2015-04-12 22:03 - 00021510 _____ () C:\Users\Chibichan\Downloads\FRST.txt
2015-04-10 22:51 - 2015-04-12 22:04 - 00000000 ____D () C:\FRST
2015-04-10 22:48 - 2015-04-10 22:48 - 01135104 _____ (Farbar) C:\Users\Chibichan\Downloads\FRST.exe
2015-04-10 13:36 - 2015-04-10 13:37 - 00000000 ____D () C:\Program Files\Mozilla Firefox
2015-04-09 21:05 - 2015-04-09 21:05 - 00000536 _____ () C:\Users\Chibichan\Desktop\fehler.txt
2015-03-25 20:04 - 2015-03-25 20:05 - 00985600 _____ () C:\Users\Chibichan\Downloads\MicrosoftFixit50123.msi
2015-03-25 19:17 - 2015-03-31 16:30 - 00000000 ____D () C:\Users\Chibichan\AppData\Roaming\Avira
2015-03-25 19:06 - 2015-03-17 14:02 - 00028520 _____ (Avira GmbH) C:\windows\system32\Drivers\ssmdrv.sys
2015-03-25 19:06 - 2015-03-17 14:01 - 00136216 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avipbb.sys
2015-03-25 19:06 - 2015-03-17 14:01 - 00105864 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avgntflt.sys
2015-03-25 19:06 - 2015-03-17 14:01 - 00037896 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avnetflt.sys
2015-03-25 19:06 - 2015-03-17 14:01 - 00037352 _____ (Avira Operations GmbH & Co. KG) C:\windows\system32\Drivers\avkmgr.sys
2015-03-25 19:02 - 2015-03-25 19:02 - 00001161 _____ () C:\Users\Public\Desktop\Avira.lnk
2015-03-25 19:00 - 2015-03-25 19:00 - 00000000 ____D () C:\ProgramData\Package Cache
2015-03-25 18:45 - 2015-03-25 18:45 - 04625104 _____ (Avira Operations GmbH & Co. KG) C:\Users\Chibichan\Downloads\avira_en_av_53e20cb6eb072__ws.exe
2015-03-24 19:30 - 2015-03-11 05:30 - 00623616 _____ (Microsoft Corporation) C:\windows\system32\invagent.dll
2015-03-24 19:30 - 2015-03-11 05:30 - 00534528 _____ (Microsoft Corporation) C:\windows\system32\generaltel.dll
2015-03-24 19:30 - 2015-03-11 05:29 - 00818176 _____ (Microsoft Corporation) C:\windows\system32\appraiser.dll
2015-03-24 19:30 - 2015-03-11 05:29 - 00327168 _____ (Microsoft Corporation) C:\windows\system32\devinv.dll
2015-03-24 19:30 - 2015-03-11 05:29 - 00202752 _____ (Microsoft Corporation) C:\windows\system32\aepdu.dll
2015-03-24 19:30 - 2015-03-11 05:29 - 00159744 _____ (Microsoft Corporation) C:\windows\system32\aepic.dll
2015-03-24 19:30 - 2015-03-11 05:29 - 00026112 _____ (Microsoft Corporation) C:\windows\system32\acmigration.dll
2015-03-24 19:30 - 2015-03-11 05:26 - 00892928 _____ (Microsoft Corporation) C:\windows\system32\aeinv.dll
2015-03-24 10:32 - 2015-03-24 10:33 - 34391223 _____ () C:\Users\Chibichan\Downloads\torbrowser-install-4.0.4_de.exe

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-04-12 21:57 - 2010-10-15 08:30 - 00001098 _____ () C:\windows\Tasks\GoogleUpdateTaskMachineUA.job
2015-04-12 21:50 - 2009-07-14 06:34 - 00027744 ____H () C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-04-12 21:50 - 2009-07-14 06:34 - 00027744 ____H () C:\windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-04-12 21:45 - 2010-10-19 05:55 - 00000000 ___RD () C:\Users\Chibichan\Desktop\schnurz
2015-04-12 21:40 - 2015-01-19 15:08 - 00304444 _____ () C:\windows\PFRO.log
2015-04-12 21:40 - 2014-10-19 16:06 - 00013720 _____ () C:\windows\setupact.log
2015-04-12 21:40 - 2010-10-15 08:30 - 00001094 _____ () C:\windows\Tasks\GoogleUpdateTaskMachineCore.job
2015-04-12 21:40 - 2009-07-14 06:53 - 00000006 ____H () C:\windows\Tasks\SA.DAT
2015-04-12 21:38 - 2009-08-28 02:32 - 01745332 _____ () C:\windows\WindowsUpdate.log
2015-04-12 21:37 - 2012-03-22 18:42 - 00000000 ____D () C:\ProgramData\InstallMate
2015-04-12 21:12 - 2014-12-09 16:45 - 00000884 _____ () C:\windows\Tasks\Adobe Flash Player Updater.job
2015-04-12 20:34 - 2012-03-23 20:14 - 00000000 ____D () C:\ProgramData\Malwarebytes
2015-04-12 18:59 - 2009-07-14 04:37 - 00000000 ___RD () C:\Users\Public
2015-04-12 18:49 - 2009-07-14 04:04 - 00000215 _____ () C:\windows\system.ini
2015-04-12 18:31 - 2009-11-05 22:32 - 00000000 ____D () C:\ProgramData\Temp
2015-04-12 17:37 - 2009-07-26 22:06 - 01620612 _____ () C:\windows\system32\PerfStringBackup.INI
2015-04-11 20:10 - 2014-11-28 14:51 - 00000000 ____D () C:\Users\Chibichan\Desktop\Tor Browser
2015-04-11 18:00 - 2012-04-25 10:24 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service
2015-04-09 21:30 - 2013-05-11 06:17 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2015-04-09 21:30 - 2012-09-10 12:02 - 00000000 ____D () C:\Users\Administrator
2015-04-09 21:30 - 2010-10-15 07:52 - 00000000 ____D () C:\Users\Arbeit
2015-04-09 21:30 - 2010-09-09 18:10 - 00000000 ___RD () C:\Users\Public\Recorded TV
2015-04-09 21:30 - 2009-11-05 21:58 - 00000000 ____D () C:\Users\Chibichan
2015-04-09 21:30 - 2009-07-14 04:37 - 00000000 ____D () C:\windows\system32\wfp
2015-04-09 21:30 - 2009-07-14 04:37 - 00000000 ____D () C:\windows\registration
2015-04-09 21:29 - 2012-04-30 09:35 - 00000000 ____D () C:\ProgramData\Real
2015-04-09 21:29 - 2011-06-11 15:55 - 00000000 ____D () C:\Users\Chibichan\AppData\Local\Mozilla
2015-04-09 19:13 - 2011-11-21 11:42 - 00000000 ____D () C:\Users\Chibichan\Calibre Bibliothek
2015-03-28 18:25 - 2009-07-14 04:37 - 00000000 ____D () C:\windows\Microsoft.NET
2015-03-25 19:18 - 2013-05-11 06:16 - 00000000 ____D () C:\Program Files\Avira
2015-03-25 19:06 - 2013-05-11 06:16 - 00000000 ____D () C:\ProgramData\Avira
2015-03-25 18:52 - 2014-12-12 22:11 - 00000000 ____D () C:\windows\system32\appraiser
2015-03-25 18:52 - 2014-05-11 06:28 - 00000000 ___SD () C:\windows\system32\CompatTel
2015-03-19 16:47 - 2013-02-03 02:27 - 00000000 ____D () C:\windows\rescache
2015-03-17 06:15 - 2012-03-23 20:14 - 00023256 _____ (Malwarebytes Corporation) C:\windows\system32\Drivers\mbam.sys

==================== Files in the root of some directories =======

2013-12-05 23:07 - 2013-12-05 23:07 - 49940480 _____ () C:\Program Files\GUTCAA5.tmp
2010-07-06 13:40 - 2010-07-06 13:40 - 0000337 _____ () C:\Users\Chibichan\AppData\Local\Perfmon.PerfmonCfg
2010-05-17 12:27 - 2012-03-15 14:55 - 0007594 _____ () C:\Users\Chibichan\AppData\Local\Resmon.ResmonCfg
2009-11-05 22:02 - 2009-08-17 07:54 - 0131368 _____ () C:\ProgramData\FullRemove.exe

ZeroAccess:
C:\Users\Chibichan\AppData\Local\7a5f2920
C:\Users\Chibichan\AppData\Local\7a5f2920\@

Some content of TEMP:
====================
C:\Users\Chibichan\AppData\Local\Temp\avgnt.exe
C:\Users\Chibichan\AppData\Local\Temp\Quarantine.exe
C:\Users\Chibichan\AppData\Local\Temp\sqlite3.dll


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\windows\explorer.exe => File is digitally signed
C:\windows\system32\winlogon.exe => File is digitally signed
C:\windows\system32\wininit.exe => File is digitally signed
C:\windows\system32\svchost.exe => File is digitally signed
C:\windows\system32\services.exe => File is digitally signed
C:\windows\system32\User32.dll => File is digitally signed
C:\windows\system32\userinit.exe => File is digitally signed
C:\windows\system32\rpcss.dll => File is digitally signed
C:\windows\system32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-04-07 13:27

==================== End Of Log ============================

--- --- ---

und FFS:

Code:

ATTFilter

Farbar Service Scanner Version: 17-01-2015
Ran by Chibichan (administrator) on 13-04-2015 at 12:59:24
Running from "C:\Users\Chibichan\Desktop"
Microsoft Windows 7 Professional  Service Pack 1 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Attempt to access Local Host IP returned error: Localhost is blocked: Destination is unreachable
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Policy: 
========================


Action Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\windows\system32\nsisvc.dll => File is digitally signed
C:\windows\system32\Drivers\nsiproxy.sys => File is digitally signed
C:\windows\system32\dhcpcore.dll => File is digitally signed
C:\windows\system32\Drivers\afd.sys => File is digitally signed
C:\windows\system32\Drivers\tdx.sys => File is digitally signed
C:\windows\system32\Drivers\tcpip.sys => File is digitally signed
C:\windows\system32\dnsrslvr.dll => File is digitally signed
C:\windows\system32\mpssvc.dll => File is digitally signed
C:\windows\system32\bfe.dll => File is digitally signed
C:\windows\system32\Drivers\mpsdrv.sys => File is digitally signed
C:\windows\system32\SDRSVC.dll => File is digitally signed
C:\windows\system32\vssvc.exe => File is digitally signed
C:\windows\system32\wscsvc.dll => File is digitally signed
C:\windows\system32\wbem\WMIsvc.dll => File is digitally signed
C:\windows\system32\wuaueng.dll => File is digitally signed
C:\windows\system32\qmgr.dll => File is digitally signed
C:\windows\system32\es.dll => File is digitally signed
C:\windows\system32\cryptsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\windows\system32\ipnathlp.dll => File is digitally signed
C:\windows\system32\iphlpsvc.dll => File is digitally signed
C:\windows\system32\svchost.exe => File is digitally signed
C:\windows\system32\rpcss.dll => File is digitally signed


**** End of log ****

deeprybka · 14.04.2015, 10:33

Hi,
ja meine unsere Studenten hier.

Das mit dem "Wartungscenter" regeln wir später. Erstmal der letzte Scan auf Malware/Adware-Reste:

Schritt 1

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Sakashima · 15.04.2015, 08:16

Hallo und Guten Morgen Jürgen,

das war eine schwere Geburt (wie man sieht). Und ich dachte immer Antivir wäre lansam

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=cb84998f06aca34ebe475aa3a9c02b88
# engine=23381
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-04-14 05:30:01
# local_time=2015-04-14 07:30:01 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 17209 180663792 0 0
# scanned=32091
# found=13
# cleaned=0
# scan_time=3219
sh=97BCCD25561F44E9B13F05F6EEF083C9CE9BA529 ft=1 fh=641f1fb3d2e699c4 vn="Win32/Toolbar.Conduit.Y evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\Conduit\Community Alerts\Alert.dll.vir"
sh=34FF8E2D281CBFECE71100A04C0FF4436818382E ft=1 fh=7b66b1ed06cb1b80 vn="Variante von Win64/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\hk64tbentr.dll.vir"
sh=AE7B8F3BB6E040CE20B02DE558471FAA4C58386E ft=1 fh=6a41a8d0046fd7b4 vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\hktbentr.dll.vir"
sh=87BE5F13318AC3BA3F403A73E332E1784304C21D ft=1 fh=3e5cd6b65c184efc vn="Variante von Win32/Toolbar.Conduit.P evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\ldrtbentr.dll.vir"
sh=2647A8D25068D715D97EE42DCB86CF9AA55946BC ft=1 fh=5fd80ae6b91e806a vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\prxtbentr.dll.vir"
sh=1E6279D9317A709616211812CCA5AB8B26EB4AB2 ft=1 fh=dd2582521ac42eea vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\tbentr.dll.vir"
sh=34FF8E2D281CBFECE71100A04C0FF4436818382E ft=1 fh=7b66b1ed06cb1b80 vn="Variante von Win64/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\hk64tbentr.dll.vir"
sh=AE7B8F3BB6E040CE20B02DE558471FAA4C58386E ft=1 fh=6a41a8d0046fd7b4 vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\hktbentr.dll.vir"
sh=87BE5F13318AC3BA3F403A73E332E1784304C21D ft=1 fh=3e5cd6b65c184efc vn="Variante von Win32/Toolbar.Conduit.P evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\ldrtbentr.dll.vir"
sh=1E6279D9317A709616211812CCA5AB8B26EB4AB2 ft=1 fh=dd2582521ac42eea vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\tbentr.dll.vir"
sh=CF6185A9EDFBA0217C9D36D25CA9F6ADCC9F6BC8 ft=1 fh=f90d49fcbe154eac vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\Roaming\OpenCandy\020BC9927715473B968845EB820D7F8D\conduitinstaller.exe.vir"
sh=4A6D785E077D2156522C88BF7C76E099F25DF52E ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Documents and Settings\Arbeit\Downloads\YouTubeDownloaderSetup31(1).exe"
sh=87E3BE3B568579B9AE899E118C11EFCD3905319B ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Documents and Settings\Arbeit\Downloads\YouTubeDownloaderSetup31.exe"
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=cb84998f06aca34ebe475aa3a9c02b88
# engine=23381
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-04-14 06:28:03
# local_time=2015-04-14 08:28:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 20691 180667274 0 0
# scanned=32103
# found=13
# cleaned=0
# scan_time=3370
sh=97BCCD25561F44E9B13F05F6EEF083C9CE9BA529 ft=1 fh=641f1fb3d2e699c4 vn="Win32/Toolbar.Conduit.Y evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\Conduit\Community Alerts\Alert.dll.vir"
sh=34FF8E2D281CBFECE71100A04C0FF4436818382E ft=1 fh=7b66b1ed06cb1b80 vn="Variante von Win64/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\hk64tbentr.dll.vir"
sh=AE7B8F3BB6E040CE20B02DE558471FAA4C58386E ft=1 fh=6a41a8d0046fd7b4 vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\hktbentr.dll.vir"
sh=87BE5F13318AC3BA3F403A73E332E1784304C21D ft=1 fh=3e5cd6b65c184efc vn="Variante von Win32/Toolbar.Conduit.P evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\ldrtbentr.dll.vir"
sh=2647A8D25068D715D97EE42DCB86CF9AA55946BC ft=1 fh=5fd80ae6b91e806a vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\prxtbentr.dll.vir"
sh=1E6279D9317A709616211812CCA5AB8B26EB4AB2 ft=1 fh=dd2582521ac42eea vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\tbentr.dll.vir"
sh=34FF8E2D281CBFECE71100A04C0FF4436818382E ft=1 fh=7b66b1ed06cb1b80 vn="Variante von Win64/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\hk64tbentr.dll.vir"
sh=AE7B8F3BB6E040CE20B02DE558471FAA4C58386E ft=1 fh=6a41a8d0046fd7b4 vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\hktbentr.dll.vir"
sh=87BE5F13318AC3BA3F403A73E332E1784304C21D ft=1 fh=3e5cd6b65c184efc vn="Variante von Win32/Toolbar.Conduit.P evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\ldrtbentr.dll.vir"
sh=1E6279D9317A709616211812CCA5AB8B26EB4AB2 ft=1 fh=dd2582521ac42eea vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\tbentr.dll.vir"
sh=CF6185A9EDFBA0217C9D36D25CA9F6ADCC9F6BC8 ft=1 fh=f90d49fcbe154eac vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\Roaming\OpenCandy\020BC9927715473B968845EB820D7F8D\conduitinstaller.exe.vir"
sh=4A6D785E077D2156522C88BF7C76E099F25DF52E ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Documents and Settings\Arbeit\Downloads\YouTubeDownloaderSetup31(1).exe"
sh=87E3BE3B568579B9AE899E118C11EFCD3905319B ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Documents and Settings\Arbeit\Downloads\YouTubeDownloaderSetup31.exe"
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=cb84998f06aca34ebe475aa3a9c02b88
# engine=23384
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-04-15 06:22:01
# local_time=2015-04-15 08:22:01 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 41830 180710112 0 0
# scanned=292791
# found=21
# cleaned=0
# scan_time=41666
sh=97BCCD25561F44E9B13F05F6EEF083C9CE9BA529 ft=1 fh=641f1fb3d2e699c4 vn="Win32/Toolbar.Conduit.Y evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\Conduit\Community Alerts\Alert.dll.vir"
sh=34FF8E2D281CBFECE71100A04C0FF4436818382E ft=1 fh=7b66b1ed06cb1b80 vn="Variante von Win64/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\hk64tbentr.dll.vir"
sh=AE7B8F3BB6E040CE20B02DE558471FAA4C58386E ft=1 fh=6a41a8d0046fd7b4 vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\hktbentr.dll.vir"
sh=87BE5F13318AC3BA3F403A73E332E1784304C21D ft=1 fh=3e5cd6b65c184efc vn="Variante von Win32/Toolbar.Conduit.P evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\ldrtbentr.dll.vir"
sh=2647A8D25068D715D97EE42DCB86CF9AA55946BC ft=1 fh=5fd80ae6b91e806a vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\prxtbentr.dll.vir"
sh=1E6279D9317A709616211812CCA5AB8B26EB4AB2 ft=1 fh=dd2582521ac42eea vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files\entrusted\tbentr.dll.vir"
sh=34FF8E2D281CBFECE71100A04C0FF4436818382E ft=1 fh=7b66b1ed06cb1b80 vn="Variante von Win64/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\hk64tbentr.dll.vir"
sh=AE7B8F3BB6E040CE20B02DE558471FAA4C58386E ft=1 fh=6a41a8d0046fd7b4 vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\hktbentr.dll.vir"
sh=87BE5F13318AC3BA3F403A73E332E1784304C21D ft=1 fh=3e5cd6b65c184efc vn="Variante von Win32/Toolbar.Conduit.P evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\ldrtbentr.dll.vir"
sh=1E6279D9317A709616211812CCA5AB8B26EB4AB2 ft=1 fh=dd2582521ac42eea vn="Variante von Win32/Toolbar.Conduit.X evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\LocalLow\entrusted\tbentr.dll.vir"
sh=CF6185A9EDFBA0217C9D36D25CA9F6ADCC9F6BC8 ft=1 fh=f90d49fcbe154eac vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\Chibichan\AppData\Roaming\OpenCandy\020BC9927715473B968845EB820D7F8D\conduitinstaller.exe.vir"
sh=4A6D785E077D2156522C88BF7C76E099F25DF52E ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Documents and Settings\Arbeit\Downloads\YouTubeDownloaderSetup31(1).exe"
sh=87E3BE3B568579B9AE899E118C11EFCD3905319B ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Documents and Settings\Arbeit\Downloads\YouTubeDownloaderSetup31.exe"
sh=BCF43267B4416C6DDEFAAD5AE0A63E3F682C5BB0 ft=1 fh=905be375e5c80006 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Documents and Settings\Chibichan\Downloads\PDFCreator-1_6_2_2_setup.exe"
sh=C25E453070C795849C94FCB0311ED1DDD4F7B74D ft=1 fh=a07ba6255bd749e6 vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\Program Files\CheckPoint\Install\CUninstaller.exe"
sh=A5036051A02ACCB9BE3ACEF32FB53509C1E866F4 ft=1 fh=8203b411154288ad vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\Program Files\CheckPoint\Install\Install.exe"
sh=C25E453070C795849C94FCB0311ED1DDD4F7B74D ft=1 fh=a07ba6255bd749e6 vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\Program Files\CheckPoint\ZAForceField\CUninstaller.exe"
sh=AC27C174CB607C5F7193903F1B6B74A2DCA1D990 ft=1 fh=ac2d0c4787f9f4c1 vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="C:\Program Files\CheckPoint\ZAForceField\TBI.exe"
sh=4A6D785E077D2156522C88BF7C76E099F25DF52E ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arbeit\Downloads\YouTubeDownloaderSetup31(1).exe"
sh=87E3BE3B568579B9AE899E118C11EFCD3905319B ft=1 fh=53710ec6ecdb71cc vn="Variante von Win32/Toolbar.Widgi evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Arbeit\Downloads\YouTubeDownloaderSetup31.exe"
sh=BCF43267B4416C6DDEFAAD5AE0A63E3F682C5BB0 ft=1 fh=905be375e5c80006 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Chibichan\Downloads\PDFCreator-1_6_2_2_setup.exe"

Ich weiß nicht ob das relevant ist, aber nach jeder Aktion (Scan etc.) ist der Firefox (ich schließe den immer, weil sonst die CPU bei 100% herumkrebst) dermaßen langsam, dass ich mir beim Tippen in Zeitlupe zusehen kann (2 Zeilen in ca. 6-10 Minuten). Mit einem erneuten Neustart des Rechners kann ich das beheben, aber muß das so?

deeprybka · 15.04.2015, 11:14

Zitat:

Zitat von Sakashima

...ist der Firefox (ich schließe den immer, weil sonst die CPU bei 100% herumkrebst) dermaßen langsam, dass ich mir beim Tippen in Zeitlupe zusehen kann (2 Zeilen in ca. 6-10 Minuten). Mit einem erneuten Neustart des Rechners kann ich das beheben, aber muß das so?

Das ist sicher nicht Standard aber auch nicht malwarebedingt.

Bzgl. ESET: Wir wissen schon warum wir ESET verwenden und Avira nicht empfehlen.

Schritt 1

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code:

ATTFilter

CloseProcesses:
HKU\S-1-5-18\...\RunOnce: [SpUninstallDeleteDir] => rmdir /s /q "\SearchProtect"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1675562717-242507097-1823633445-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {91DA5E8A-3318-4F8C-B67E-5964DE3AB546} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
C:\Users\Chibichan\AppData\Local\7a5f2920
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54
AlternateDataStreams: C:\ProgramData\Temp:5C5A503E
AlternateDataStreams: C:\ProgramData\Temp:A42A9F39

Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

Starte FRST und drücke auf den Fix-Button.
Das Tool erstellt eine "Fixlog.txt" -Datei.
Poste mir bitte deren Inhalt.

Der Rechner ist nach dem Fix sauber. Gibt's sonst noch (malwarebedingte) Probleme?

Sakashima · 15.04.2015, 12:51

Zitat:

Zitat von deeprybka

Das ist sicher nicht Standard aber auch nicht malwarebedingt.

Hm ok, aber das Problem habe ich erst seit dem Combofix-Durchlauf

Zitat:

Bzgl. ESET: Wir wissen schon warum wir ESET verwenden und Avira nicht empfehlen.

OK kein Antivir, verstanden

Aber ESET ist auch keine Dauerlösung. Ich hatte bisher Norton und McAfee (günstige Studentenversion), aber hingerissen war ich von keinem der beiden.
Was gibts denn sonst noch Schönes?

Hier ersteinmal das Fixlog:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 15-04-2015
Ran by Chibichan at 2015-04-15 12:48:47 Run:1
Running from C:\Users\Chibichan\Desktop
Loaded Profiles: Chibichan (Available profiles: Chibichan & Arbeit & Administrator)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
CloseProcesses:
HKU\S-1-5-18\...\RunOnce: [SpUninstallDeleteDir] => rmdir /s /q "\SearchProtect"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1675562717-242507097-1823633445-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {91DA5E8A-3318-4F8C-B67E-5964DE3AB546} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
C:\Users\Chibichan\AppData\Local\7a5f2920
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54
AlternateDataStreams: C:\ProgramData\Temp:5C5A503E
AlternateDataStreams: C:\ProgramData\Temp:A42A9F39
         
*****************

Processes closed successfully.
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpUninstallDeleteDir => value deleted successfully.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\S-1-5-21-1675562717-242507097-1823633445-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{91DA5E8A-3318-4F8C-B67E-5964DE3AB546} => Value not found.
HKCR\CLSID\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{91DA5E8A-3318-4F8C-B67E-5964DE3AB546} => Key not found. 
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Value not found.
HKCR\CLSID\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{2318C2B1-4965-11D4-9B18-009027A5CD4F} => Key not found. 
HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{C55BBCD6-41AD-48AD-9953-3609C48EACC7} => Value not found.
HKCR\CLSID\Toolbar: HKU\S-1-5-21-1675562717-242507097-1823633445-1002-{{C55BBCD6-41AD-48AD-9953-3609C48EACC7} => Key not found. 
C:\Users\Chibichan\AppData\Local\7a5f2920 => Moved successfully.
C:\ProgramData\Temp => ":4CF61E54" ADS removed successfully.
C:\ProgramData\Temp => ":5C5A503E" ADS removed successfully.
C:\ProgramData\Temp => ":A42A9F39" ADS removed successfully.


The system needed a reboot. 

==== End of Fixlog 12:48:54 ====

Malwarebedingte Probleme gibt es, denke ich, keine mehr.

(oder hätte ich lieber den ->

nehmen sollen? xD)

Ich wollte mich um die manuelle Software Restriction Policy kümmern, so dass mir Sachen wie TL nicht so gefährlich werden können. Ich bin ja nun nicht der Typ der wahllos fremde emails öffnet, aber man weiß ja nie was man in geistiger Umnachtung manchmal verbockt.^^
Wenn ich damit Probleme habe, kann ich mich hier nochmal melden?

Wenn erlaubt, eine kleine Anmerkung zu dem deutschen Artikel

: Könnte da vll. noch einmal jemand drüber lesen? Dieser ist an einigen Stellen schwer zu verstehen (der engl. ist verständlicher und enthällt nicht so viele Vertippser) und ist nicht ganz identisch mit diesem. Letzteres kann ja auch gewollt sein (vom inhaltlichen Standpunkt kann ich keine Aussage machen nur vom übersetzerischen^^)? Würde ich auch machen, das Korrekturlesen, wenn ihr mögt.
Es sind ja nur kleine Sachen, aber jemanden der keine Ahnung hat und sich nur Wort für Wort langhangel (so wie ich

), fällt halt auch bei kleinen Stolpersteinen auf die Nase.

deeprybka · 15.04.2015, 12:55

Zitat:

Zitat von Sakashima

Wenn erlaubt, eine kleine Anmerkung zu dem deutschen Artikel

: Könnte da vll. noch einmal jemand drüber lesen? Dieser ist an einigen Stellen schwer zu verstehen (der engl. ist verständlicher und enthällt nicht so viele Vertippser) und ist nicht ganz identisch mit diesem. Letzteres kann ja auch gewollt sein (vom inhaltlichen Standpunkt kann ich keine Aussage machen nur vom übersetzerischen^^)? Würde ich auch machen, das Korrekturlesen, wenn ihr mögt.
Es sind ja nur kleine Sachen, aber jemanden der keine Ahnung hat und sich nur Wort für Wort langhangel (so wie ich

), fällt halt auch bei kleinen Stolpersteinen auf die Nase.

What? Ich nur Bahnhof...

Welchen Artikel?

deeprybka · 15.04.2015, 13:59

Zitat:

Zitat von Sakashima

OK kein Antivir, verstanden

Aber ESET ist auch keine Dauerlösung. Ich hatte bisher Norton und McAfee (günstige Studentenversion), aber hingerissen war ich von keinem der beiden.
Was gibts denn sonst noch Schönes?

Na ESET gibts auch zu kaufen. Ansonsten haben wir ein schönes Angebot:

http://www.trojaner-board.de/166031-...-produkte.html

Bzgl. der Anleitung gebe ich Dir Recht. Ist aber nicht von mir.

Kannst ja aber einen Kommentar dort hinterlassen. Dafür gibts das ja...

Zonealarm würde ich deinstallieren. Bitte auch die installierten Java-Versionen deinstallieren und mit der aktuellen ersetzen. Dann noch Adobe Flash updaten. Nach DelFix ist es ein guter Moment wichtige Online-Passwörter zu ändern.

>>clean<<
Wir haben es geschafft!

Die Logs sehen für mich im Moment sauber aus.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...

und/oder das Forum mit einer kleinen Spende unterstützen.

Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
Combofix deinstallieren

Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
Drücke bitte die + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
Klicke auf OK.
Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte

DelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

ESET Smart Security

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:

NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.

Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie

.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .

Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Systemsuchlauf Antivir - versteckter Treiber - gefährlich? - mit Vorgeschichte

Plagegeister aller Art und deren Bekämpfung: Systemsuchlauf Antivir - versteckter Treiber - gefährlich? - mit Vorgeschichte