Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 14.01.2018, 13:35   #1
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Hallo allerseits,

ich bin von meinem Vater angesprochen worden, nachdem er ein Telekom Rechnung bekommen hat und diese nicht öffnen konnte und danach der Virenscanner angesprochen hat. Mittlerweile ist auch ein Brief der Telekom angekommen, dass ein infizierter Rechner im Netzwerk vorhanden sein soll.

Ich habe erst mal versucht mit Spybot Search&Destroy und Malwarebytes den Trojaner zu entfernen, das System scheint aber weiterhin kompromittiert zu sein. Im Moment blockiert Malwarebytes das jegliche öffnen von Seamonkey oder Explorer mit dem Hinweis auf einen Exploit.

Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 13.01.2018 01
durchgeführt von Volker (14-01-2018 13:00:27)
Gestartet von E:\
Windows 7 Professional Service Pack 1 (X64) (2015-10-15 17:14:15)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-381393367-2514925127-750396014-500 - Administrator - Disabled)
Gast (S-1-5-21-381393367-2514925127-750396014-501 - Limited - Enabled)
Volker (S-1-5-21-381393367-2514925127-750396014-1000 - Administrator - Enabled) => C:\Users\Volker
Volker Benutzer (S-1-5-21-381393367-2514925127-750396014-1003 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Avira Antivirus (Enabled - Up to date) {B3F630BD-538D-1B4A-14FA-14B63235278F}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Spybot - Search and Destroy (Enabled - Up to date) {4C1D9672-63FE-5C90-371E-8FDA591C5B75}
AS: Avira Antivirus (Enabled - Up to date) {0897D159-75B7-14C4-2E4A-2FC449B26D32}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

7-Zip 16.02 (x64) (HKLM\...\7-Zip) (Version: 16.02 - Igor Pavlov)
Apple Application Support (32-Bit) (HKLM-x32\...\{F2871C89-C8A5-42EE-8D45-0F02506385A6}) (Version: 5.1 - Apple Inc.)
Apple Application Support (64-Bit) (HKLM\...\{9BC93467-75D1-4AA4-BD58-D9C51D88DFAB}) (Version: 5.1 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{55BB2110-FB43-49B3-93F4-945A0CFB0A6C}) (Version: 10.0.1.3 - Apple Inc.)
Apple Software Update (HKLM-x32\...\{56EC47AA-5813-4FF6-8E75-544026FBEA83}) (Version: 2.2.0.150 - Apple Inc.)
Audiograbber 1.83 SE  (HKLM-x32\...\Audiograbber) (Version: 1.83 SE  - Audiograbber)
Audiograbber MP3-Plugin (HKLM-x32\...\Audiograbber-Lame) (Version: 1.0 - AG)
Avira (HKLM-x32\...\{518c54f5-fd43-4aa6-936b-8d7fd8c85cbd}) (Version: 1.2.103.26908 - Avira Operations GmbH & Co. KG)
Avira (HKLM-x32\...\{E3F659C3-7936-4321-B886-4DA527DA72FE}) (Version: 1.2.103.26908 - Avira Operations GmbH & Co. KG) Hidden
Avira Antivirus (HKLM-x32\...\Avira Antivirus) (Version: 15.0.34.17 - Avira Operations GmbH & Co. KG)
Bonjour (HKLM\...\{56DDDFB8-7F79-4480-89D5-25E1F52AB28F}) (Version: 3.1.0.1 - Apple Inc.)
ElsterFormular (HKLM-x32\...\ElsterFormular) (Version: 18.1.22140 - Landesfinanzdirektion Thüringen)
Greenshot 1.2.8.12 (HKLM\...\Greenshot_is1) (Version: 1.2.8.12 - Greenshot)
HP Softpaq SP46137  (HKLM-x32\...\SP46137) (Version:  - )
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1930 - Intel Corporation)
Intel(R) Management Engine Interface (HKLM\...\HECI) (Version:  - Intel Corporation)
iTunes (HKLM\...\{554C62C7-E6BB-40F1-892B-F0AE02D3C135}) (Version: 12.5.3.17 - Apple Inc.)
Juniper Networks, Inc. Setup Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Setup_Client) (Version: 7.4.9.44981 - Juniper Networks, Inc.)
Juniper Networks, Inc. Setup Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998\...\Juniper_Setup_Client) (Version: 7.4.9.44981 - Juniper Networks, Inc.)
Juniper Networks, Inc. Setup Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092\...\Juniper_Setup_Client) (Version: 7.4.9.44981 - Juniper Networks, Inc.)
Juniper Networks, Inc. Setup Client 64-bit Activex Control (HKLM\...\Juniper_Setup_Client Activex Control) (Version: 2.1.1.1 - Juniper Networks, Inc.)
Juniper Terminal Services Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Juniper_Term_Services) (Version: 7.4.0.30611 - Juniper Networks)
Juniper Terminal Services Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998\...\Juniper_Term_Services) (Version: 7.4.0.30611 - Juniper Networks)
Juniper Terminal Services Client (HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092\...\Juniper_Term_Services) (Version: 7.4.0.30611 - Juniper Networks)
Malwarebytes Anti-Exploit version 1.11.1.48 (HKLM\...\Malwarebytes Anti-Exploit_is1) (Version: 1.11.1.48 - Malwarebytes)
Malwarebytes Version 3.3.1.2183 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.3.1.2183 - Malwarebytes)
Meldung professional (HKLM-x32\...\MeldungProfessional) (Version:  - )
Microsoft .NET Framework 4.6 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft .NET Framework 4.6 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.6.00081 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version:  - Microsoft)
Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft SQL Server Compact 4.0 x64 DEU (HKLM\...\{CCBF4FD7-F4D2-4DB0-BC0E-F4EC42220EFF}) (Version: 4.0.8482.1 - Microsoft Corporation)
SeaMonkey 2.38 (x86 de) (HKLM-x32\...\SeaMonkey 2.38 (x86 de)) (Version: 2.38 - Mozilla)
Seltec Run (HKLM-x32\...\{37EBDEDB-4E20-4A8B-9390-9CA240CA0AB0}) (Version:  - )
Seltec Team (HKLM-x32\...\{603EAF37-A19B-11D7-ABB7-000102A18C32}) (Version:  - )
Seltec Track and Field (HKLM-x32\...\{26ACCDF7-8FA1-11D7-ABB4-000102A18C32}) (Version:  - )
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.6.46 - Safer-Networking Ltd.)
Total Commander 64-bit (Remove or Repair) (HKLM-x32\...\Totalcmd64) (Version: 8.52a - Ghisler Software GmbH)
Track and Field 3.1.0.1371 (HKLM-x32\...\SeltecTafBeta_is1) (Version: 3.1.0.1371 - Seltec GmbH)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version:  - Microsoft)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => J:\Download\7-Zip\7-zip.dll [2016-05-21] (Igor Pavlov)
ContextMenuHandlers1: [Foxit_ConvertToPDF_Reader] -> {A94757A0-0226-426F-B4F1-4DF381C630D3} => C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\ConvertToPDFShellExtension_x64.dll -> Keine Datei
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2017-05-23] (Safer-Networking Ltd.)
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2017-05-23] (Safer-Networking Ltd.)
ContextMenuHandlers1: [Shell Extension for Malware scanning] -> {45AC2688-0253-4ED8-97DE-B5370FA7D48A} => C:\Program Files (x86)\Avira\Antivirus\shlext64.dll [2017-12-17] (Avira Operations GmbH & Co. KG)
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Keine Datei
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => J:\Download\7-Zip\7-zip.dll [2016-05-21] (Igor Pavlov)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2009-09-23] (Intel Corporation)
ContextMenuHandlers6: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => J:\Download\7-Zip\7-zip.dll [2016-05-21] (Igor Pavlov)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2017-05-23] (Safer-Networking Ltd.)
ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2017-05-23] (Safer-Networking Ltd.)
ContextMenuHandlers6: [Shell Extension for Malware scanning] -> {45AC2688-0253-4ED8-97DE-B5370FA7D48A} => C:\Program Files (x86)\Avira\Antivirus\shlext64.dll [2017-12-17] (Avira Operations GmbH & Co. KG)

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {127293CB-7504-4871-94B2-702FEBBECD12} - System32\Tasks\Avira_Antivirus_Systray => C:\Program Files (x86)\Avira\Antivirus\avgnt.exe [2017-12-17] (Avira Operations GmbH & Co. KG)
Task: {37171D0C-8E4B-4E92-AD13-EE28F75F63C6} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2017-05-23] (Safer-Networking Ltd.)
Task: {43C80DFE-D9F7-440C-87DC-55D7507749EE} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2017-05-23] (Safer-Networking Ltd.)
Task: {6B0CB72C-97A4-47EC-9550-60E2E5FFD007} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {8ADEC7A8-0818-4317-8F9C-46B0C90CF93A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2016-02-23] (Apple Inc.)
Task: {E21ABFB9-13C0-408F-928D-035C9A4A4F86} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [2017-05-23] (Safer-Networking Ltd.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen & WMI ========================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)


==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2016-10-05 18:17 - 2016-10-05 18:17 - 000092472 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
2016-10-05 18:17 - 2016-10-05 18:17 - 001353528 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002301384 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll
2018-01-12 17:19 - 2017-11-29 09:11 - 002358728 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MwacLib.dll
2017-12-12 21:09 - 2017-12-12 21:09 - 000651776 ____N () C:\Users\Volker\AppData\Roaming\ammeter-84\ammeter-33.exe
2018-01-03 17:07 - 2016-09-13 14:00 - 000109400 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\snlThirdParty150.bpl
2018-01-03 17:07 - 2016-09-13 14:00 - 000416600 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\DEC150.bpl
2018-01-03 17:07 - 2016-09-13 14:00 - 000167768 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\snlFileFormats150.bpl
2018-01-03 17:07 - 2017-05-12 11:36 - 000507464 _____ () C:\Program Files (x86)\Spybot - Search & Destroy 2\sqlite3.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:34 - 2009-06-10 22:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-381393367-2514925127-750396014-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998\Control Panel\Desktop\\Wallpaper -> C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092\Control Panel\Desktop\\Wallpaper -> C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.2.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{032207B3-798E-4BF8-AD24-F56C250348B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\outlook.exe
FirewallRules: [{8B6478E7-E60E-4C92-85F9-2A7FC623F569}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{E12B0D91-708A-4FAE-B053-AE40AFB4C0D7}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\GROOVE.EXE
FirewallRules: [{5F7AD548-C0F7-46FC-92C0-CB9F9C8686B9}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [{4CB889A0-B47C-4C08-93B0-DD2F6E201D8C}] => (Allow) J:\Anwendungen\Microsoft Office\Office12\ONENOTE.EXE
FirewallRules: [TCP Query User{7BAE7FC7-CCC4-4DD3-B4D2-54692ACB7CE1}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [UDP Query User{1E1AEF19-C966-43F5-9DC5-F45528497F38}C:\program files (x86)\seltec sports\seltec run\timing.exe] => (Allow) C:\program files (x86)\seltec sports\seltec run\timing.exe
FirewallRules: [{DEF17ADA-3D21-478E-A321-C7F63442D875}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{50202030-9D50-4095-81A1-375BBD9552DE}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{9B8A922C-29F0-4712-8466-BFD573F293DD}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{2A4B3FEF-F8F0-4069-AC3E-1E963475C251}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
FirewallRules: [{A145D52A-C477-4AC9-8600-6A232750EEB0}] => (Allow) C:\Program Files\iTunes\iTunes.exe
FirewallRules: [TCP Query User{13B257A0-6935-4EBC-8FC2-107725314A83}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
FirewallRules: [UDP Query User{87340A6F-DAC6-4428-BB21-76719A792853}C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe] => (Allow) C:\program files (x86)\seltec sports\track and field 3\taf\taf.exe
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater
StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service

==================== Wiederherstellungspunkte =========================


==================== Fehlerhafte Geräte im Gerätemanager =============

Name: PS/2-kompatible Maus
Description: PS/2-kompatible Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (01/12/2018 02:33:23 PM) (Source: SDFSSvc.exe) (EventID: 0) (User: )
Description: Event-ID 0

Error: (01/09/2018 10:08:43 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: FoxitReader.exe, Version: 9.0.1.1049, Zeitstempel: 0x5a2f915a
Name des fehlerhaften Moduls: FoxitReader.exe, Version: 9.0.1.1049, Zeitstempel: 0x5a2f915a
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000cea58
ID des fehlerhaften Prozesses: 0x8f0
Startzeit der fehlerhaften Anwendung: 0x01d3898e0505061f
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Foxit Software\Foxit Reader\FoxitReader.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Foxit Software\Foxit Reader\FoxitReader.exe
Berichtskennung: 4550d50d-f581-11e7-abee-00237dbfd0b4

Error: (01/09/2018 05:27:05 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: FoxitPrevhost.exe, Version: 1.0.4.703, Zeitstempel: 0x55974baf
Name des fehlerhaften Moduls: FoxitPrevhost.exe, Version: 1.0.4.703, Zeitstempel: 0x55974baf
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000010bd
ID des fehlerhaften Prozesses: 0xe78
Startzeit der fehlerhaften Anwendung: 0x01d38966aed2504a
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Foxit Software\Foxit Reader\Shell Extensions\FoxitPrevhost.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Foxit Software\Foxit Reader\Shell Extensions\FoxitPrevhost.exe
Berichtskennung: edd33ff1-f559-11e7-b07e-00237dbfd0b4

Error: (01/09/2018 04:40:46 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\Tools.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\Tools.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (01/09/2018 04:40:46 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDWinLogon.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (01/09/2018 04:40:45 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDTasks.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (01/09/2018 04:40:43 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDResources.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (01/09/2018 04:40:41 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDLists.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (01/09/2018 04:40:41 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDLicense.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDLicense.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.

Error: (01/09/2018 04:40:41 PM) (Source: SideBySide) (EventID: 9) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\spybot - search & destroy 2\SDImmunizeLibrary.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\spybot - search & destroy 2\SDImmunizeLibrary.dll" in Zeile 2.
Das Stammelement der Manifestdatei muss assembliert sein.


Systemfehler:
=============
Error: (01/14/2018 12:13:28 PM) (Source: BROWSER) (EventID: 8032) (User: )
Description: Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport "\Device\NetBT_Tcpip_{B5A6A746-19C6-4214-A66A-5D32E75C222A}" zu oft fehl.
Der Sicherungssuchdienst wird beendet.

Error: (01/14/2018 12:11:00 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: Der Dienst "Malwarebytes Anti-Exploit Service" wurde nicht richtig gestartet.

Error: (01/14/2018 11:58:08 AM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎14.‎01.‎2018 um 11:56:44 unerwartet heruntergefahren.

Error: (01/13/2018 05:57:43 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst MBAMService erreicht.

Error: (01/13/2018 08:27:21 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "UPnP-Gerätehost" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Dienst konnte wegen einer fehlerhaften Anmeldung nicht gestartet werden.

Error: (01/13/2018 08:27:21 AM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Der Dienst "upnphost" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: 
Der Server des Sicherheitskonten-Managers (SAM, Security Account Manager) oder der lokalen Sicherheitsautorität (LSA, Local Security Authority) befand sich in einem Zustand, in dem der Sicherheitsvorgang nicht durchgeführt werden kann.


Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).

Error: (01/13/2018 08:27:22 AM) (Source: DCOM) (EventID: 10005) (User: )
Description: Bei DCOM ist der Fehler "1069" aufgetreten, als der Dienst "upnphost" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden:
{204810B9-73B2-11D4-BF42-00B0D0118B56}

Error: (01/12/2018 12:33:49 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Der Dienst "Avira Echtzeit-Scanner" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Neustart des Diensts.

Error: (01/12/2018 12:04:45 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Spybot-S&D 2 Scanner Service" wurde aufgrund folgenden Fehlers nicht gestartet: 
Der Dienst antwortete nicht rechtzeitig auf die Start- oder Steuerungsanforderung.

Error: (01/12/2018 12:04:45 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Spybot-S&D 2 Scanner Service erreicht.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Prozentuale Nutzung des RAM: 62%
Installierter physikalischer RAM: 2021.3 MB
Verfügbarer physikalischer RAM: 763.3 MB
Summe virtueller Speicher: 4042.6 MB
Verfügbarer virtueller Speicher: 2197.83 MB

==================== Laufwerke ================================

Drive c: (Demeter C) (Fixed) (Total:97.93 GB) (Free:50.74 GB) NTFS
Drive e: (PFALZWERKE) (Removable) (Total:0.98 GB) (Free:0.12 GB) FAT
Drive j: (Demeter J) (Fixed) (Total:134.85 GB) (Free:106.23 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: B488B5BD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=97.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=134.9 GB) - (Type=07 NTFS)

========================================================
Disk: 6 (Size: 1003.5 MB) (Disk ID: 00B2F53B)
Partition 1: (Active) - (Size=1003 MB) - (Type=06)

==================== Ende von Addition.txt ============================
         
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 13.01.2018 01
durchgeführt von Volker (Administrator) auf DEMETER (14-01-2018 12:59:00)
Gestartet von E:\
Geladene Profile: Volker &  (Verfügbare Profile: Volker)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: "J:\Anwendungen\Seamonkey\seamonkey.exe" -requestPending -osint -url "%1")
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avguard.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae64.exe
(Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
(Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avshadow.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Greenshot) C:\Program Files\Greenshot\Greenshot.exe
(Intel Corporation) C:\Windows\System32\igfxsrvc.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
() C:\Users\Volker\AppData\Roaming\ammeter-84\ammeter-33.exe
(Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
(Malwarebytes Corporation) C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Antivirus\avgnt.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe
(Microsoft Corporation) C:\Windows\System32\wbem\WMIADAP.exe

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [Greenshot] => C:\Program Files\Greenshot\Greenshot.exe [528384 2015-11-10] (Greenshot)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176440 2016-11-01] (Apple Inc.)
HKLM-x32\...\Run: [GrooveMonitor] => J:\Anwendungen\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [4174464 2017-05-23] (Safer-Networking Ltd.)
HKLM-x32\...\Run: [Avira SystrayStartTrigger] => C:\Program Files (x86)\Avira\Launcher\Avira.SystrayStartTrigger.exe [98024 2017-12-21] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae.exe [2479392 2017-12-18] (Malwarebytes Corporation)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\Run: [mosfet-5] => C:\Users\Volker\AppData\Local\mosfet-4\mosfet-9.exe [668160 2017-12-14] ()
HKU\S-1-5-21-381393367-2514925127-750396014-1000\...\MountPoints2: {0e6bc2a7-6f51-11e6-926c-00237dbfd0b4} - E:\LaunchU3.exe -a
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998\...\Run: [mosfet-5] => C:\Users\Volker\AppData\Local\mosfet-4\mosfet-9.exe [668160 2017-12-14] ()
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998\...\MountPoints2: {0e6bc2a7-6f51-11e6-926c-00237dbfd0b4} - E:\LaunchU3.exe -a
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092\...\Run: [mosfet-5] => C:\Users\Volker\AppData\Local\mosfet-4\mosfet-9.exe [668160 2017-12-14] ()
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092\...\MountPoints2: {0e6bc2a7-6f51-11e6-926c-00237dbfd0b4} - E:\LaunchU3.exe -a
Startup: C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ammeter-88.lnk [2018-01-14]
ShortcutTarget: ammeter-88.lnk -> C:\Users\Volker\AppData\Roaming\ammeter-84\ammeter-33.exe ()
Startup: C:\Users\Volker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\docsis-2.lnk [2018-01-12]
ShortcutTarget: docsis-2.lnk -> C:\Users\Volker\AppData\Roaming\docsis-92\docsis-34.exe (Keine Datei)
BootExecute: autocheck autochk * sdnclean64.exe

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{B5A6A746-19C6-4214-A66A-5D32E75C222A}: [DhcpNameServer] 192.168.2.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q=
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {028AE27D-A5E4-4F68-AC42-8E498222DD82} URL = hxxp://go.web.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {64895CA6-050D-4BF0-8609-956E02411101} URL = hxxp://go.gmx.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {7398F1F6-EA43-441D-AA61-5672C59B0C0C} URL = hxxp://go.mail.com/tb/en-us/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> {75B68547-393A-4875-A3B4-57EE245AC130} URL = hxxp://go.1und1.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998 -> {028AE27D-A5E4-4F68-AC42-8E498222DD82} URL = hxxp://go.web.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998 -> {64895CA6-050D-4BF0-8609-956E02411101} URL = hxxp://go.gmx.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998 -> {7398F1F6-EA43-441D-AA61-5672C59B0C0C} URL = hxxp://go.mail.com/tb/en-us/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998 -> {75B68547-393A-4875-A3B4-57EE245AC130} URL = hxxp://go.1und1.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092 -> {028AE27D-A5E4-4F68-AC42-8E498222DD82} URL = hxxp://go.web.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092 -> {64895CA6-050D-4BF0-8609-956E02411101} URL = hxxp://go.gmx.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092 -> {7398F1F6-EA43-441D-AA61-5672C59B0C0C} URL = hxxp://go.mail.com/tb/en-us/ie_searchplugin/?q={searchTerms}&enc=UTF-8
SearchScopes: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092 -> {75B68547-393A-4875-A3B4-57EE245AC130} URL = hxxp://go.1und1.de/tb/ie_searchplugin/?q={searchTerms}&enc=UTF-8
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> J:\Anwendungen\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation)
Toolbar: HKU\S-1-5-21-381393367-2514925127-750396014-1000 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Keine Datei
Toolbar: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121743998 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Keine Datei
Toolbar: HKU\S-1-5-21-381393367-2514925127-750396014-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01142018121923092 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Keine Datei
DPF: HKLM-x32 {F27237D7-93C8-44C2-AC6E-D6057B9A918F} hxxps://zugang1.ovag.de/dana-cached/sc/JuniperSetupClient.cab
Handler-x32: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - J:\Anwendungen\Microsoft Office\Office12\GrooveSystemServices.dll [2009-02-26] (Microsoft Corporation)

FireFox:
========
FF DefaultProfile: xsvc6ll6.default
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\Sunbird\Profiles\u1e8041m.default [2018-01-12]
FF Extension: (Timezone Definitions for Mozilla Calendar) - J:\Anwendungen\Mozilla Sunbird\extensions\calendar-timezones@mozilla.org [2015-10-17] [Legacy] [ist nicht signiert]
FF Extension: (Lightning stub extension for Sunbird) - J:\Anwendungen\Mozilla Sunbird\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103} [2015-10-17] [Legacy] [ist nicht signiert]
FF ProfilePath: C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default [2018-01-14]
FF Homepage: Mozilla\SeaMonkey\Profiles\xsvc6ll6.default -> hxxp://www.lg-ovag-friedberg-fauerbach.de/
FF Extension: (DOM Inspector) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\inspector@mozilla.org [2016-04-27] [Legacy]
FF Extension: (ChatZilla) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{59c81df5-4b7a-477b-912d-4e0fdf64e5f2} [2016-11-10] [Legacy]
FF Extension: (Adblock Plus) - C:\Users\Volker\AppData\Roaming\Mozilla\SeaMonkey\Profiles\xsvc6ll6.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-11-24] [Legacy]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Keine Datei]
FF Plugin-x32: @microsoft.com/OfficeLive,version=1.5 -> C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll [2010-04-26] (Microsoft Corp.)

Chrome: 
=======
CHR StartupUrls: Default -> "hxxp://www.google.com/"
CHR Profile: C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default [2015-10-16]
CHR Extension: (Docs) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-10-16]
CHR Extension: (Kein Name) - C:\Users\Volker\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-10-16]

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AntiVirMailService; C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe [1128944 2017-12-17] (Avira Operations GmbH & Co. KG)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\Antivirus\sched.exe [492560 2018-01-05] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\Antivirus\avguard.exe [492560 2018-01-05] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe [1526832 2017-12-17] (Avira Operations GmbH & Co. KG)
R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-09-22] (Apple Inc.)
R2 Avira.ServiceHost; C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe [444600 2017-12-21] (Avira Operations GmbH & Co. KG)
S3 ElfoService; C:\Program Files (x86)\ElsterFormular Update Service\bin\ElfoService.exe [1283376 2017-02-13] ()
R2 MbaeSvc; C:\Program Files (x86)\Malwarebytes Anti-Exploit\mbae-svc.exe [153888 2017-12-18] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6234056 2017-11-01] (Malwarebytes)
S3 Microsoft Office Groove Audit Service; J:\Anwendungen\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1776864 2017-05-23] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [2131760 2017-05-23] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [233936 2017-05-23] (Safer-Networking Ltd.)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R0 avdevprot; C:\Windows\System32\DRIVERS\avdevprot.sys [64504 2017-06-20] (Avira Operations GmbH & Co. KG)
R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [196344 2017-12-17] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [153072 2017-12-17] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [35328 2017-03-02] (Avira Operations GmbH & Co. KG)
R2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [78600 2017-03-02] (Avira Operations GmbH & Co. KG)
R1 ESProtectionDriver; C:\Windows\system32\drivers\mbae64.sys [77432 2017-11-29] ()
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [193968 2018-01-12] (Malwarebytes)
R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [110016 2018-01-14] (Malwarebytes)
R3 MBAMProtection; C:\Windows\System32\DRIVERS\mbam.sys [46008 2018-01-14] (Malwarebytes)
R0 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [253880 2018-01-12] (Malwarebytes)
R3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [84256 2018-01-14] (Malwarebytes)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-01-14 12:58 - 2018-01-14 12:59 - 000000000 ____D C:\FRST
2018-01-14 12:11 - 2018-01-14 12:11 - 000110016 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
2018-01-14 12:07 - 2018-01-14 12:14 - 000000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Exploit
2018-01-14 12:07 - 2018-01-14 12:07 - 000000000 ____D C:\Program Files (x86)\Malwarebytes Anti-Exploit
2018-01-12 17:20 - 2018-01-14 12:17 - 000084256 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
2018-01-12 17:20 - 2018-01-12 17:20 - 000193968 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2018-01-12 17:19 - 2018-01-14 12:11 - 000046008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2018-01-12 17:19 - 2018-01-12 17:19 - 000253880 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2018-01-12 17:19 - 2018-01-12 17:19 - 000001876 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\ProgramData\Malwarebytes
2018-01-12 17:19 - 2018-01-12 17:19 - 000000000 ____D C:\Program Files\Malwarebytes
2018-01-12 17:19 - 2017-11-29 09:11 - 000077432 _____ C:\Windows\system32\Drivers\mbae64.sys
2018-01-08 09:07 - 2018-01-13 17:01 - 000000000 ____D C:\ProgramData\Foxit Software
2018-01-08 09:07 - 2018-01-08 09:07 - 000000000 ____D C:\ProgramData\Foxit ContentPlatform
2018-01-07 08:30 - 2018-01-07 08:30 - 000001129 _____ C:\Users\Public\Desktop\Avira.lnk
2018-01-03 17:08 - 2018-01-03 17:08 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2018-01-03 17:07 - 2018-01-03 20:58 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2018-01-03 17:07 - 2018-01-03 17:08 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2018-01-03 17:07 - 2018-01-03 17:07 - 000001400 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
2018-01-03 17:07 - 2018-01-03 17:07 - 000001388 _____ C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
2018-01-03 17:07 - 2018-01-03 17:07 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
2018-01-03 17:07 - 2017-05-23 09:22 - 000032240 _____ (Safer-Networking Ltd.) C:\Windows\system32\sdnclean64.exe
2017-12-17 15:18 - 2017-12-17 15:35 - 000000000 ____D C:\Users\Volker\Documents\TAF
2017-12-17 15:17 - 2017-12-17 15:17 - 000000000 ____D C:\Program Files\Microsoft SQL Server Compact Edition
2017-12-17 15:16 - 2017-12-17 15:17 - 000000000 ____D C:\Program Files (x86)\Microsoft SQL Server Compact Edition
2017-12-17 15:06 - 2017-12-17 15:16 - 001591896 _____ C:\Windows\SysWOW64\PerfStringBackup.INI
2017-12-17 14:55 - 2017-12-17 14:55 - 038554772 _____ (Seltec GmbH ) C:\Users\Volker\Downloads\TafFullSetup_latest.exe
2017-12-17 10:55 - 2017-12-17 10:55 - 000000303 _____ C:\Users\Volker\Downloads\Lizenzen_TSV_Friedberg-Fauerbach 2018.zip

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2018-01-14 12:18 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2018-01-14 12:18 - 2009-07-14 05:45 - 000014368 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2018-01-14 12:08 - 2009-07-14 06:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2018-01-14 12:02 - 2017-08-10 06:31 - 000000000 ____D C:\Users\Volker\AppData\Roaming\ammeter-84
2018-01-14 12:01 - 2017-05-22 17:18 - 000000000 ____D C:\ProgramData\fluid-60
2018-01-14 11:55 - 2016-04-18 02:09 - 000000000 ____D C:\Users\Volker\AppData\Local\mosfet-4
2018-01-14 11:47 - 2017-09-17 14:27 - 000003292 _____ C:\Windows\System32\Tasks\Avira_Antivirus_Systray
2018-01-13 17:16 - 2009-07-14 06:32 - 000000000 ____D C:\Windows\Downloaded Program Files
2018-01-13 17:01 - 2015-10-18 08:27 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Software
2018-01-13 16:59 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\system32\Macromed
2018-01-13 16:58 - 2016-08-15 16:28 - 000000000 ____D C:\Windows\SysWOW64\Macromed
2018-01-13 16:43 - 2009-07-14 18:58 - 000698688 _____ C:\Windows\system32\perfh007.dat
2018-01-13 16:43 - 2009-07-14 18:58 - 000148828 _____ C:\Windows\system32\perfc007.dat
2018-01-13 16:43 - 2009-07-14 06:13 - 001618320 _____ C:\Windows\system32\PerfStringBackup.INI
2018-01-13 16:43 - 2009-07-14 04:20 - 000000000 ____D C:\Windows\inf
2018-01-12 17:31 - 2016-10-22 20:17 - 000000000 ____D C:\Users\Volker\AppData\Roaming\docsis-92
2018-01-11 11:45 - 2016-09-25 13:48 - 000000000 ____D C:\Users\Volker\AppData\Local\Greenshot
2018-01-10 16:42 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker\AppData\Local\VirtualStore
2018-01-09 17:24 - 2017-05-26 15:11 - 000000000 ____D C:\Users\Volker\AppData\Roaming\Foxit Scanner Images
2018-01-08 08:28 - 2009-07-14 06:08 - 000032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2018-01-07 20:37 - 2015-10-15 18:14 - 000000000 ____D C:\Users\Volker
2018-01-07 08:30 - 2015-11-08 11:17 - 000000000 ____D C:\ProgramData\Package Cache
2018-01-07 08:30 - 2015-11-08 11:16 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
2018-01-06 08:37 - 2015-08-31 12:20 - 000000000 ____D C:\ProgramData\wvr
2017-12-18 18:07 - 2009-07-14 06:32 - 000000000 ____D C:\Windows\system32\FxsTmp
2017-12-17 15:35 - 2015-10-16 17:21 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Seltec Sports
2017-12-17 15:35 - 2015-10-16 17:21 - 000000000 ____D C:\Program Files (x86)\Seltec Sports
2017-12-17 08:32 - 2015-11-08 11:15 - 000196344 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2017-12-17 08:32 - 2015-11-08 11:15 - 000153072 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2016-06-05 18:32 - 2016-06-05 18:32 - 000004096 _____ () C:\Users\Volker\AppData\Local\keyfile3.drm
2015-10-17 19:23 - 2015-10-17 19:23 - 000007605 _____ () C:\Users\Volker\AppData\Local\Resmon.ResmonCfg

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2018-01-09 16:37

==================== Ende von FRST.txt ============================
         
Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 1/14/18
Scan Time: 12:19 PM
Log File: c196b368-f91c-11e7-9cb3-00237dbfd0b4.json
Administrator: Yes

-Software Information-
Version: 3.3.1.2183
Components Version: 1.0.262
Update Package Version: 1.0.3691
License: Trial

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Demeter\Volker

-Scan Summary-
Scan Type: Threat Scan
Result: Completed
Objects Scanned: 244470
Threats Detected: 0
(No malicious items detected)
Threats Quarantined: 0
(No malicious items detected)
Time Elapsed: 10 min, 40 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 0
(No malicious items detected)

Physical Sector: 0
(No malicious items detected)


(end)
         
Vielen Dank schon mal für die Hilfe.

Gruß
Christian

Alt 14.01.2018, 15:42   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Frage

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Zitat:
Im Moment blockiert Malwarebytes das jegliche öffnen von Seamonkey oder Explorer mit dem Hinweis auf einen Exploit.
Und warum präsentierst du uns ein Logfile ohne Funde?
__________________

__________________

Alt 14.01.2018, 16:28   #3
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Hallo,

Zitat:
Und warum präsentierst du uns ein Logfile ohne Funde?
verklickt

anbei das richtige:




Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Log Details-
Protection Event Date: 1/13/18
Protection Event Time: 3:26 PM
Log File: b8564548-f86d-11e7-a7dc-00237dbfd0b4.json
Administrator: Yes

-Software Information-
Version: 3.3.1.2183
Components Version: 1.0.262
Update Package Version: 1.0.3687
License: Trial

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: System

-Exploit Details-
File: 0
(No malicious items detected)

Exploit: 1
Malware.Exploit.Agent.Generic, , Blocked, [0], [392684],0.0.0

-Exploit Data-
Affected Application: Seamonkey
Protection Layer: Protection Against OS Security Bypass
Protection Technique: Exploit ROP gadget attack blocked
File Name: 
URL: 



(end)
         
Außerdem ein Screenshot der Meldung:



Gruß
Christian
__________________

Geändert von Willyviper (14.01.2018 um 16:37 Uhr)

Alt 14.01.2018, 16:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Du möchtest bitte ALLE Logs mit Funden posten. Das war nur ein Log das zeigt, dass vom Browser was geblockt wurde. Und wenn du Screenshots postest, dann bitte nicht im Briefmarkenformat.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.01.2018, 16:42   #5
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Das mit dem Screenshot hatte ich auch gesehen, hat einen Moment gedauert das zu ändern.

Log mit Fund habe ich nur dieses hier gefunden:

Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 1/12/18
Scan Time: 5:21 PM
Log File: 969d9118-f7b4-11e7-821a-00237dbfd0b4.json
Administrator: Yes

-Software Information-
Version: 3.3.1.2183
Components Version: 1.0.262
Update Package Version: 1.0.3682
License: Trial

-System Information-
OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Demeter\Volker

-Scan Summary-
Scan Type: Threat Scan
Result: Completed
Objects Scanned: 244492
Threats Detected: 6
Threats Quarantined: 6
Time Elapsed: 9 min, 28 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 1
Generic.Malware/Suspicious, C:\USERS\VOLKER\APPDATA\ROAMING\DOCSIS-21\DOCSIS-54.EXE, Quarantined, [0], [392686],1.0.3682

Module: 1
Generic.Malware/Suspicious, C:\USERS\VOLKER\APPDATA\ROAMING\DOCSIS-21\DOCSIS-54.EXE, Quarantined, [0], [392686],1.0.3682

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 4
Generic.Malware/Suspicious, C:\USERS\VOLKER\APPDATA\ROAMING\DOCSIS-21\DOCSIS-54.EXE, Quarantined, [0], [392686],1.0.3682
Generic.Malware/Suspicious, C:\USERS\VOLKER\APPDATA\ROAMING\DOCSIS-92\DOCSIS-34.EXE, Quarantined, [0], [392686],1.0.3682
Trojan.Nymaim, C:\USERS\VOLKER\APPDATA\LOCAL\TEMP\E520.TMP, Quarantined, [51], [476300],1.0.3682
Trojan.Nymaim, C:\USERS\VOLKER\APPDATA\LOCAL\TEMP\F7C6.TMP, Quarantined, [51], [476811],1.0.3682

Physical Sector: 0
(No malicious items detected)


(end)
         


Alt 14.01.2018, 16:44   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Bitte Avira deinstallieren

Wir deinstallieren dann am besten auch gleich weiteren unnötigen oder veralteten Krempel.

Avira empfehlen wir schon seit Jahren aus mehreren Gründen nicht mehr. Ein Grund ist ne rel. hohe Fehlalarmquote, der zweite Hauptgrund ist, dass die immer noch mit ASK zusammenarbeiten (Avira Suchfunktion geht über ASK). Auch andere Freewareanbieter wie AVG, Avast oder Panda sprangen auf diesen Zug auf; so was ist bei Sicherheitssoftware einfach inakzeptabel. Vgl. Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog



Lade Dir bitte von hier Revo Uninstaller Download Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.
  • Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
  • Klicke auf Optionen und wähle als Sprache Deutsch.
  • Suche im Uninstallerfeld nach den Programmen:


    7-Zip 16.02 (x64)

    Avira

    Avira Antivirus

    Spybot - Search & Destroy


  • Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
  • Wähle anschließend den Modus "Moderat" aus.
  • Reste löschen:
    Klicke auf dann auf und dann auf .

 





Gib Bescheid wenn Avira weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren!
__________________
--> Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung

Alt 14.01.2018, 17:57   #7
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



So ist erledigt

Alt 14.01.2018, 18:08   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.01.2018, 18:32   #9
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Erstaunlicherweise hat er den Scan mit No Malware Found beendet.

Hier das LOG File

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2018.01.14.04
  rootkit: v2017.10.14.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.18426
Volker :: DEMETER [administrator]

14.01.2018 18:14:38
mbar-log-2018-01-14 (18-14-38).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 188429
Time elapsed: 12 minute(s), 1 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

Alt 14.01.2018, 18:35   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!




adwCleaner v7.x

Downloade Dir bitte AdwCleaner auf Deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • Tracing Schlüssel
    • Prefetch Dateien
    • Proxy
    • Winsock
    • IE Richtlinien
    • Chrome Richtlinien
  • Bestätige die Auswahl mit Ok.
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist. Am Ende des Suchlaufs öffnet sich automatisch eine Logdatei. Schließe diese.
  • Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
  • Klicke am Ende der Bereinigung auf Jetzt neu starten. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.01.2018, 18:52   #11
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Hier wurde was gefunden:

Code:
ATTFilter
# AdwCleaner 7.0.6.0 - Logfile created on Sun Jan 14 17:42:18 2018
# Updated on 2017/21/12 by Malwarebytes 
# Running on Windows 7 Professional (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

No malicious folders deleted.

***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks deleted.

***** [ Registry ] *****

Deleted: [Key] - HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cloudfront.net
Deleted: [Key] - HKCU\Software\Microsoft\Internet Explorer\DOMStorage\d34l82c0c99zbh.cloudfront.net
Deleted: [Value] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext|DisableAddonLoadTimePerformanceNotifications


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries deleted.

*************************

::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0



*************************

C:/AdwCleaner/AdwCleaner[S0].txt - [1266 B] - [2018/1/14 17:41:59]


########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########
         

Alt 14.01.2018, 18:53   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Code:
ATTFilter
::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0
         
Anleitung richtig lesen und umsetzen! Du hast nicht alle Optionen so gesetzt wie beschrieben
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.01.2018, 18:59   #13
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Ja habe ich gemerkt , ein zweites mal gescannt und da hat er gar nichts gefunden. Ist das Log trotzdem interessant?

Code:
ATTFilter
# AdwCleaner 7.0.6.0 - Logfile created on Sun Jan 14 17:50:27 2018
# Updated on 2017/21/12 by Malwarebytes 
# Database: 01-11-2018.1
# Running on Windows 7 Professional (X64)
# Mode: scan
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries.

*************************

C:/AdwCleaner/AdwCleaner[C0].txt - [1413 B] - [2018/1/14 17:42:18]
C:/AdwCleaner/AdwCleaner[S0].txt - [1266 B] - [2018/1/14 17:41:59]


########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt ##########
         

Alt 14.01.2018, 19:20   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Wirklich richtig gelesen?

Zitat:
Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.01.2018, 19:37   #15
Willyviper
 
Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Standard

Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung



Habs nochmal laufen lassen:

Code:
ATTFilter
# AdwCleaner 7.0.6.0 - Logfile created on Sun Jan 14 18:34:31 2018
# Updated on 2017/21/12 by Malwarebytes 
# Running on Windows 7 Professional (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

No malicious folders deleted.

***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks deleted.

***** [ Registry ] *****

No malicious registry entries deleted.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries deleted.

*************************

::Tracing keys deleted
::Winsock settings cleared
::Prefetch files deleted
::Proxy settings cleared
::IE policies deleted
::Chrome policies deleted
::Additional Actions: 0



*************************

C:/AdwCleaner/AdwCleaner[C0].txt - [1413 B] - [2018/1/14 17:42:18]
C:/AdwCleaner/AdwCleaner[S0].txt - [1266 B] - [2018/1/14 17:41:59]
C:/AdwCleaner/AdwCleaner[S1].txt - [1088 B] - [2018/1/14 17:50:27]
C:/AdwCleaner/AdwCleaner[S2].txt - [1156 B] - [2018/1/14 18:31:49]


########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt ##########
         

Antwort

Themen zu Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung
antivirus, avdevprot, avg, avira, blockiert, browser, cpu, desktop, entfernen, error, homepage, internet, internet explorer, mozilla, netzwerk, registry, scan, security, server, services.exe, software, svchost.exe, system, trojaner, udp, updates



Ähnliche Themen: Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung


  1. win.trojan.nymaim Phishing Mail auf Android
    Smartphone, Tablet & Handy Security - 30.12.2017 (8)
  2. mailer Daemon als fishing e-mail
    Überwachung, Datenschutz und Spam - 15.10.2016 (1)
  3. Fishing mail
    Plagegeister aller Art und deren Bekämpfung - 29.05.2015 (29)
  4. Angeblich nymaim Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 05.03.2015 (24)
  5. Windows 7: Trojaner Nymaim
    Log-Analyse und Auswertung - 18.02.2015 (22)
  6. Falsche Telekom E-Mail mit vermeintlicher Rechnung geöffnet. Virenscanner Kaspersky findet Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (12)
  7. Windows 7: Anhang in Fake Telekom-Mail (Rechnung) geöffnet - Trojaner TR/Kryptik.vnyz gefunden
    Log-Analyse und Auswertung - 06.07.2014 (9)
  8. Trojaner-Warnung: Telekom E-Mail mit “Rechnung Online Monat Mai oder Juni 2014”
    Diskussionsforum - 10.06.2014 (0)
  9. Trojaner-Warnung: Vodafone E-Mail mit "Ihre neue Rechnung als PDF"
    Diskussionsforum - 03.06.2014 (0)
  10. Nach Download einer Amazon-Rechnung (nicht geöffnet) TR/Buzus Trojaner per Avira gefunden nach Virenprüfung hier der Bericht
    Log-Analyse und Auswertung - 16.09.2013 (6)
  11. E-Mail Anhang / Rechnung / .ZIP / Trojaner (TR/Matsnu.EB.140)
    Log-Analyse und Auswertung - 19.04.2013 (2)
  12. Verschlüsselungstrojaner nach e-mail Rechnung.
    Log-Analyse und Auswertung - 25.06.2012 (4)
  13. Datein verschlüsselt nach Mail von Spreadshirt und Rechnung.zip
    Log-Analyse und Auswertung - 06.06.2012 (5)
  14. GMX Mail mit Anhang Rechnung geöffnet= Trojaner
    Plagegeister aller Art und deren Bekämpfung - 04.06.2012 (1)
  15. Verschlüsselungs-Trojaner nach E-Mail Rechnung
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (1)
  16. Trojaner per Rechnung über Mail
    Log-Analyse und Auswertung - 19.05.2012 (18)
  17. Trojaner E-Mail (rechnung.zip)
    Log-Analyse und Auswertung - 02.05.2012 (6)

Zum Thema Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung - Hallo allerseits, ich bin von meinem Vater angesprochen worden, nachdem er ein Telekom Rechnung bekommen hat und diese nicht öffnen konnte und danach der Virenscanner angesprochen hat. Mittlerweile ist auch - Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung...
Archiv
Du betrachtest: Win 7 Trojaner nymaim nach Fishing Mail mit pdf Rechnung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.