Trojaner-Board - e.ligatus.com 34088 Poppup

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - e.ligatus.com 34088 Poppup (https://www.trojaner-board.de/134158-e-ligatus-com-34088-poppup.html)

Servus,

hhmm. Das mit der Verbindung ist komisch.

Auch auf derartigen Seiten kann man sich infizieren...

Zitat:

O15 - HKCU\..Trusted Domains: youporn.com ([www] * in Vertrauenswürdige Sites)

Wir werfen mal einen Blick auf die Dienste:

Downloade dir bitte

Farbar Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Auch wenn das wahrscheinlich jeder schreibt, aber ICH habe das da nicht eingetragen, eben weil mir bewusst ist das solche seiten nicht die sichersten sind. Habe es jetzt auch direkt rausgenommen.

Code:

Farbar Service Scanner Version: 14-04-2013

Ran by Fabio (administrator) on 02-05-2013 at 18:35:56

Running from "D:\Users\Fabio\Desktop"

Windows 7 Professional Service Pack 1 (X64)

Boot Mode: Normal

****************************************************************
 

Internet Services:

============
 

Connection Status:

==============

Localhost is accessible.

LAN connected.

Google IP is accessible.

Google.com is accessible.

Attempt to access Yahoo IP returned error. Yahoo IP is offline

Yahoo.com is accessible.
 
 

Windows Firewall:

=============
 

Firewall Disabled Policy: 

==================

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall"=DWORD:0
 
 

System Restore:

============
 

System Restore Disabled Policy: 

========================
 
 

Action Center:

============
 

Windows Update:

============
 

Windows Autoupdate Disabled Policy: 

============================
 
 

Windows Defender:

==============
 

Other Services:

==============
 
 

File Check:

========

C:\Windows\System32\nsisvc.dll => MD5 is legit

C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit

C:\Windows\System32\dhcpcore.dll => MD5 is legit

C:\Windows\System32\drivers\afd.sys => MD5 is legit

C:\Windows\System32\drivers\tdx.sys => MD5 is legit

C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit

C:\Windows\System32\dnsrslvr.dll => MD5 is legit

C:\Windows\System32\mpssvc.dll => MD5 is legit

C:\Windows\System32\bfe.dll => MD5 is legit

C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit

C:\Windows\System32\SDRSVC.dll => MD5 is legit

C:\Windows\System32\vssvc.exe => MD5 is legit

C:\Windows\System32\wscsvc.dll => MD5 is legit

C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit

C:\Windows\System32\wuaueng.dll => MD5 is legit

C:\Windows\System32\qmgr.dll => MD5 is legit

C:\Windows\System32\es.dll => MD5 is legit

C:\Windows\System32\cryptsvc.dll => MD5 is legit

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit

C:\Windows\System32\ipnathlp.dll => MD5 is legit

C:\Windows\System32\iphlpsvc.dll => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit
 
 

**** End of log ****

Servus,

das sieht ok aus. Noch Probleme mit ligatus.com?

Öffne Firefox.
Klicke auf Firefox -> Add-ons -> Erweiterungen
Liste mir bitte die Namen aller Erweiterungen auf.

Warum ist die Windows Firewall aus?

War eigtl immer an... habe sie jetzt wieder aktiviert.

Plugins:
Sitzungs-manager
Tab Utilities (deaktiviert)

(Noch ist der Fehler nicht wieder aufgetreten, aber ich habe noch keinen Zeitlichen Rythmus gefunden, kommt immer mal wieder, zeigt aber auch nur einen weißen 1x1 Pixel an)

Servus,

wir kontrollieren nochmal alles:

Schritt 1

Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste mit deiner nächsten Antwort

die Logdatei von MBAM,
die Logdatei von ESET,
die Logdatei von SecurityCheck.

malwarebytes:

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.05.02.07
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 10.0.9200.16540

Fabio :: Fabio-PC [Administrator]
 

02.05.2013 22:40:29

mbam-log-2013-05-02 (22-40-29).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 243535

Laufzeit: 3 Minute(n), 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

ESET:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=f5a3463278dcda4f8d934e4b3e8725e8

# engine=13705

# end=finished

# remove_checked=false

# archives_checked=false

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-04-26 04:42:20

# local_time=2013-04-26 06:42:20 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=774 16777213 85 91 3968101 143704412 0 0

# compatibility_mode=5893 16776573 100 94 7556 118624390 0 0

# scanned=292066

# found=1

# cleaned=0

# scan_time=4903

sh=1E535583B55FE4933691110432AC975FF7DD01B6 ft=1 fh=53c0fb1e92f73673 vn="IRC/Randon.BT worm" ac=I fn="D:\Users\Fabio\Downloads\nirc2009.exe"

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=f5a3463278dcda4f8d934e4b3e8725e8

# engine=13743

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-05-02 11:37:55

# local_time=2013-05-03 01:37:55 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=774 16777213 85 91 4507836 144247747 0 0

# compatibility_mode=5893 16776573 100 94 57516 119167725 0 0

# scanned=303282

# found=1

# cleaned=0

# scan_time=10326

sh=1E535583B55FE4933691110432AC975FF7DD01B6 ft=1 fh=53c0fb1e92f73673 vn="IRC/Randon.BT worm" ac=I fn="D:\Users\Fabio\Downloads\nirc2009.exe"

Security Check:

Code:

 Results of screen317's Security Check version 0.99.62  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 9  
 ``````````````Antivirus/Firewall Check:`````````````` 

avast! Antivirus   

 Antivirus up to date!  (On Access scanning disabled!) 
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.75.0.1300  

 TuneUp Utilities 2013   

 TuneUp Utilities Language Pack (de-DE) 

 Adobe Flash Player 11.7.700.169  

 Adobe Reader 10.1.6 Adobe Reader out of Date!  

 Mozilla Firefox (20.0.1) 

 Mozilla Thunderbird (17.0.5) 
 ````````Process Check: objlist.exe by Laurent````````  

 ESET ESET Online Scanner OnlineScannerApp.exe  

 ESET ESET Online Scanner OnlineCmdLineScanner.exe  

 Malwarebytes' Anti-Malware mbamscheduler.exe   

 AVAST Software Avast AvastSvc.exe  

 AVAST Software Avast AvastUI.exe  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Servus,

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:files

D:\Users\Fabio\Downloads\nirc2009.exe
 

:Commands

[reboot]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Ist das Pop-op nochmal gekommen?

Ich habe es ausgeführt, danach kam aber kein Logfile... Weder auf dem Desktop noch in irgendeinem ordner.

habe es dann nochmal ohne reboot ausgeführt, dann kam diese Logfile (also nach dem 2ten ausführen)
aber die datei existiert auch im ordner nicht mehr (auch nicht versteckt)

Code:

========== FILES ==========

File\Folder D:\Users\Fabio\Downloads\nirc2009.exe not found.

 

OTL by OldTimer - Version 3.2.69.0 log created on 05032013_165913

Servus,

ok. Ist das Pop-op unter Firefox nochmal gekommen?

Hi,

also bis jetzt ist der fehler noch nicht wieder aufgetreten.

und zu dem Langsamen Internet, habe ich den fehler mitlerweile soweit eingegrenzt das das am Web-Schutz von Avast liegt. Wenn ich den ausschalte habe ich volle geschwindigkeit. Besteht die möglichkeit das sich in Avast irgendein Trojaner/Wurm/Virus eingenistet hat?

Servus,

Zitat:

Zitat von aloukat (Beitrag 1057088)

und zu dem Langsamen Internet, habe ich den fehler mitlerweile soweit eingegrenzt das das am Web-Schutz von Avast liegt. Wenn ich den ausschalte habe ich volle geschwindigkeit. Besteht die möglichkeit das sich in Avast irgendein Trojaner/Wurm/Virus eingenistet hat?

das ist das erste Mal, das ich von einem Problem mit dem Web-Schutz von Avast höre.

Malware hat sich da nicht eingenistet. ;)
Könnte ein Problem mit einem anderen Programm sein...

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Ich sehe, dass du sog. Registry Cleaner auf dem System hast.
In deinem Fall TuneUp Utilities 2013
TuneUp Utilities Language Pack (de-DE).

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.
Am Ende empfehle ich dir ein anderes Tool, mit dem du deine temporären Dateien entfernen kannst.

Schritt 1
Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software / Programme deinstallieren--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.

Schritt 2
Sofern verwendet, starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.

Schritt 3
Downloade dir bitte delfix auf deinen Desktop.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.
DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.

Schritt 4
Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.

Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
WinPatrol
Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
WOT (Web of trust)
Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC

Halte dich fern von Registry Cleanern.
Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link:
Miekemoes Blogspot ( MVP )

Was du vermeiden solltest:

Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Genau jetzt kommt er wieder :(

Bevor ich mit der Liste angefangen habe und beim Arbeiten mit Office...

Servus,

ich frag mal intern nach, ob noch jemand eine Idee hat. :)

EDIT:

Erscheint dieses Pop-up NUR in Firefox, oder auch im Internet Explorer?

Lass mal bitte noch das hier laufen und poste die Logdatei:

Downloade dir HitmanPro (64 Bit) auf deinen Desktop.

Starte die HitmanPro.exe.
Klicke zweimal auf Weiter.
Lass am Ende des Suchlaufs ggf. auftretende Funde entfernen.
Wähle im nächsten Fenster Logdatei speichern und speichere die Logdatei auf deinem Desktop.
Poste die HitmanPro_<Datum_Uhrzeit>.txt mit deiner nächsten Antwort.

Außerdem berichtet ein anderer User >> hier << , dass das Problem womöglich an ICQ liegt.
Deinstalliere doch ICQ mal bei dir und schau, ob das hilft. ;)

Ja es öffnet sich nur in FireFox (aber nicht immer beim surfen mit firefox) wobei FireFox auch der Standartbrowser ist.

Das mit ICQ werde ich mal testen, kann ich jetzt nicht sagen ob da auch jedes mal ICQ an war. Aber werde ich Umsetzen und mal im auge behalten.

Hier schonmal das Log von Hitman:

Code:

HitmanPro 3.7.3.194

www.hitmanpro.com
 

   Computer name . . . . : Fabio-PC

   Windows . . . . . . . : 6.1.1.7601.X64/4

   User name . . . . . . : Fabio-PC\Fabio

   UAC . . . . . . . . . : Enabled

   License . . . . . . . : Free
 

   Scan date . . . . . . : 2013-05-07 18:41:31

   Scan mode . . . . . . : Normal

   Scan duration . . . . : 2m 37s

   Disk access mode  . . : Direct disk access (SRB)

   Cloud . . . . . . . . : Internet

   Reboot  . . . . . . . : No
 

   Threats . . . . . . . : 2

   Traces  . . . . . . . : 12
 

   Objects scanned . . . : 1.633.133

   Files scanned . . . . : 33.837

   Remnants scanned  . . : 491.220 files / 1.108.076 keys
 

Suspicious files ____________________________________________________________
 

   C:\Users\Fabio\AppData\Roaming\Ubisoft\Tom Clancy's Ghost Recon Future Soldier\pb\dll\wc002278.dll

      Size . . . . . . . : 972.501 bytes

      Age  . . . . . . . : 187.1 days (2012-11-01 15:14:29)

      Entropy  . . . . . : 7.6

      SHA-256  . . . . . : CCD4FD05B76D1C64855930E0B24365B4C9ABA3F3319DACEE5D06A565D5CC78F9

      Fuzzy  . . . . . . : 29.0

         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.

         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.

         Authors name is missing in version info. This is not common to most programs.

         Version control is missing. This file is probably created by an individual. This is not typical for most programs.

         Program contains PE structure anomalies. This is not typical for most programs.
 

   C:\Users\Fabio\AppData\Roaming\Ubisoft\Tom Clancy's Ghost Recon Future Soldier\pb\dll\wc002289.dll

      Size . . . . . . . : 972.501 bytes

      Age  . . . . . . . : 187.7 days (2012-11-01 01:32:16)

      Entropy  . . . . . : 7.6

      SHA-256  . . . . . : CCD4FD05B76D1C64855930E0B24365B4C9ABA3F3319DACEE5D06A565D5CC78F9

      Fuzzy  . . . . . . : 29.0

         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.

         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.

         Authors name is missing in version info. This is not common to most programs.

         Version control is missing. This file is probably created by an individual. This is not typical for most programs.

         Program contains PE structure anomalies. This is not typical for most programs.
 

   C:\Users\Fabio\AppData\Roaming\Ubisoft\Tom Clancy's Ghost Recon Future Soldier\pb\pbcl.dll

      Size . . . . . . . : 972.501 bytes

      Age  . . . . . . . : 187.1 days (2012-11-01 15:14:30)

      Entropy  . . . . . : 7.6

      SHA-256  . . . . . : CCD4FD05B76D1C64855930E0B24365B4C9ABA3F3319DACEE5D06A565D5CC78F9

      Fuzzy  . . . . . . : 29.0

         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.

         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.

         Authors name is missing in version info. This is not common to most programs.

         Version control is missing. This file is probably created by an individual. This is not typical for most programs.

         Program contains PE structure anomalies. This is not typical for most programs.
 

   C:\Users\Fabio\AppData\Roaming\Ubisoft\Tom Clancy's Ghost Recon Future Soldier\pb\pbcls.dll

      Size . . . . . . . : 972.501 bytes

      Age  . . . . . . . : 187.1 days (2012-11-01 15:14:30)

      Entropy  . . . . . : 7.6

      SHA-256  . . . . . : CCD4FD05B76D1C64855930E0B24365B4C9ABA3F3319DACEE5D06A565D5CC78F9

      Fuzzy  . . . . . . : 29.0

         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.

         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.

         Authors name is missing in version info. This is not common to most programs.

         Version control is missing. This file is probably created by an individual. This is not typical for most programs.

         Program contains PE structure anomalies. This is not typical for most programs.
 
 

Malware remnants ____________________________________________________________
 

   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ (Trojan.FakeAV)

   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ (Trojan.FakeAV)
 

Cookies _____________________________________________________________________
 

   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\1E94RRU3.txt

   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\5AE11VU6.txt

   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\A4OTLV1B.txt

   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\HA0D5XIN.txt

   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\XQJXOC9E.txt

   C:\Users\Fabio\AppData\Roaming\Microsoft\Windows\Cookies\Z7HOS6R1.txt

Servus,

Hitman hat nur unbedeutende Reste gefunden.

Deinstalliere mal ICQ und schau, ob das Problem noch auftritt. Wenn nicht, dann solltest du ggf. zu einem anderen Messenger wechseln.

Wenn das Problem nicht mehr aufgetreten ist, dann kannst du meine letzten Anleitungen von hier ausführen.