Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Befall von Trojan-Spy.Win32.Zbot.mzqa laut Disinfec't 2013 (https://www.trojaner-board.de/137981-befall-trojan-spy-win32-zbot-mzqa-laut-disinfect-2013-a.html)

SolarPlexus 09.07.2013 20:41
Befall von Trojan-Spy.Win32.Zbot.mzqa laut Disinfec't 2013
 
Hallo,

ich habe hier schon viel gelesen, und möchte nun auch mein "Glück" probieren.

Meine Mutter bekam ein Schreiben Ihrer Bank, dass sie einen Trojanerbefall hat und der Onlinebankingzugang gesperrt wurde.

Nach anruf bei mir wurde der Rechner sofort ausgeschaltet, und ich gab ihr den "Befehl" alle Kennwörter zu ändern in den verschiedenen Zugängen (über anderen Rechner).

Ich habe dann den Rechner gescannt mit der Disinfec't 2013-CD von CT (Linuxbasis), und es wurde Trojan-Spy.Win32.Zbot.mzqa gemeldet, sowie noch ein paar andere "Schlingel", welche aber scheinbar in der Quarantäne von Microsoft Essentials hängen. Das Log dieses Scans hängt anbei.

Ich habe dann allen gefundenen Dateien ein ".VIRUS" angehängt. (um sie "erstmal" aus dem Verkehr zu ziehen, und trotzdem sie noch da zu haben, falls für eine Analyse benötigt)

Danach die Einstiegsempfehlungen eines Erstscanns hier aus dem Trojanerboard durchgeführt, und diese Logs hier auch angehängt. (also Defogger, OTL, Gmer. Leider ging der Stromspaarmodus mal zwischendurch an, ich hoffe das macht nichts)

Uff, etwas Off topic: ich merke grad wie die Tastatur meiner Mom prellt und hängt... Evtl wäre auch ein neuer Rechner die bessere Wahl :headbang:

Ich sag jetzt schon mal Danke, und meine Mom erst recht wenn wir den Laptop wieder hin bekommen :)

Beste Grüße
Dirk

schrauber 09.07.2013 21:08
hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


SolarPlexus 10.07.2013 05:21
Hi,

hat etwas gedauert, aber hier snd die Logs:FRST.txt

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-07-2013 01
Ran by Elke (ATTENTION: The logged in user is not administrator) on 09-07-2013 22:16:25
Running from C:\Users\Elke\Desktop
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
() C:\Windows\vsnpstd3.exe
(Microsoft Corporation) C:\Program Files\Microsoft IntelliPoint\ipoint.exe
(Hewlett-Packard) C:\Program Files\HP\HP Software Update\hpwuschd2.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Citrix Systems, Inc.) C:\Users\Elke\AppData\Local\Citrix\ICA Client\concentr.exe
(TomTom) C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
(Google) C:\Program Files\Google\Drive\googledrivesync.exe
(Citrix Systems, Inc.) C:\Users\Elke\AppData\Local\Citrix\ICA Client\wfcrun32.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Google) C:\Program Files\Google\Drive\googledrivesync.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version8\TeamViewer.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
(Hewlett-Packard) C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IgfxTray] - C:\Windows\system32\igfxtray.exe [141848 2009-09-23] (Intel Corporation)
HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [173592 2009-09-23] (Intel Corporation)
HKLM\...\Run: [Persistence] - C:\Windows\system32\igfxpers.exe [150552 2009-09-23] (Intel Corporation)
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [snpstd3] - C:\Windows\vsnpstd3.exe [827392 2006-09-19] ()
HKLM\...\Run: [TrayServer] - C:\Program Files\MAGIX\Video_deluxe_17_Plus_Sonderedition\TrayServer.exe [90112 2008-08-07] (MAGIX AG)
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [IntelliPoint] - "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [1821576 2011-08-01] (Microsoft Corporation)
HKLM\...\Run: [HP Software Update] - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [49208 2011-05-10] (Hewlett-Packard)
HKLM\...\Run: [] -  [x]
HKLM\...\Run: [MSC] - "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey [947152 2013-01-27] (Microsoft Corporation)
HKLM\...\Runonce: [*WerKernelReporting] - %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [x]
HKLM\...\RunOnce: [InnoSetupRegFile.0000000001] - "C:\Windows\is-5FM8E.exe" /REG [1556992 2012-05-24] ()
HKLM\...\Runonce: [GrpConv] - grpconv.exe -o [x]
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, [x]
HKCU\...\Run: [ConnectionCenter] - "C:\Users\Elke\AppData\Local\Citrix\ICA Client\concentr.exe" /startup [103768 2009-09-12] (Citrix Systems, Inc.)
HKCU\...\Run: [TomTomHOME.exe] - "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" [247768 2012-08-28] (TomTom)
HKCU\...\Run: [GoogleDriveSync] - "C:\Program Files\Google\Drive\googledrivesync.exe" /autostart [19676256 2013-06-06] (Google)
HKCU\...\Run: [Yhurfykasi] - C:\Users\Elke\AppData\Roaming\Ihigwe\aveme.exe [x]
HKCU\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\system32\Macromed\Flash\FlashUtil32_11_7_700_224_Plugin.exe -update plugin [814472 2013-06-12] (Adobe Systems Incorporated)
MountPoints2: {23700944-c4c1-11e0-883a-806e6f6e6963} - G:\AutoRun.exe
MountPoints2: {36ebc293-674a-11e0-ac58-0016d4d210b5} - F:\AutoRun.exe
MountPoints2: {36ebc4d7-674a-11e0-ac58-0016d4d210b5} - F:\AutoRun.exe
MountPoints2: {97510187-268e-11e1-9909-0016d4d210b5} - G:\AutoRun.exe
MountPoints2: {b0e08a84-66c9-11e0-93a9-806e6f6e6963} - F:\AutoRun.exe
MountPoints2: {b5141a87-50e5-11e1-8c1d-0016d4d210b5} - F:\AutoRun.exe
MountPoints2: {e125be13-65af-11e0-9fcf-0016d4d210b5} - F:\AutoRun.exe
MountPoints2: {e125be29-65af-11e0-9fcf-0016d4d210b5} - F:\AutoRun.exe
Startup: C:\ProgramData\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
Startup: C:\Users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk
ShortcutTarget: MyPC Backup.lnk -> C:\Program Files\MyPC Backup\MyPC Backup.exe (MyPCBackup.com)
Startup: C:\Users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\simplicheck.lnk
ShortcutTarget: simplicheck.lnk -> C:\Program Files\simplitec\simplicheck\simplicheck.exe (simplitec)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU SearchScopes: DefaultScope {14DBB871-5665-42FE-ABB2-9F70B8A29E2E} URL = hxxp://www.google.de/search?q={searchTerms}&rlz=
SearchScopes: HKCU - {14DBB871-5665-42FE-ABB2-9F70B8A29E2E} URL = hxxp://www.google.de/search?q={searchTerms}&rlz=
BHO: No Name - {02478D38-C3F9-4efb-9B51-7695ECA05670} -  No File
BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
BHO: Skype Plug-In - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default
FF user.js: detected! => C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\user.js
FF NewTab: chrome://unitedtb/content/newtab/newtab-page.xhtml
FF Homepage: https://www.google.de/
FF NetworkProxy: "type", 0
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.0.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\searchplugins\11-suche.xml
FF SearchPlugin: C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\searchplugins\englische-ergebnisse.xml
FF SearchPlugin: C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\searchplugins\gmx-suche.xml
FF SearchPlugin: C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\searchplugins\lastminute.xml
FF SearchPlugin: C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\searchplugins\webde-suche.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: No Name - C:\Users\Elke\AppData\Roaming\Mozilla\Extensions\home2@tomtom.com
FF Extension: Visualisateur 3D de 20-20 - C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\Extensions\2020Player_IKEA@2020Technologies.com
FF Extension: No Name - C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\Extensions\extension21728@extension21728.com
FF Extension: toolbar - C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\Extensions\toolbar@web.de.xpi
FF Extension: Default - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

========================== Services (Whitelisted) =================

R2 AAV UpdateService; C:\Program Files\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
R2 BackupStack; C:\Program Files\MyPC Backup\BackupStack.exe [32808 2013-05-25] (Just Develop It)
R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128 2011-05-24] (MAGIX AG)
S3 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®)
R2 lmhosts; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)
R3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S3 UPnPService; C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [544768 2006-12-14] (Magix AG)

==================== Drivers (Whitelisted) ====================

R2 acedrv10; C:\Windows\system32\drivers\acedrv10.sys [330144 2007-07-27] (Protect Software GmbH)
R2 acehlp10; C:\Windows\system32\drivers\acehlp10.sys [251680 2007-07-27] (Protect Software GmbH)
R3 EMSCR; C:\Windows\System32\DRIVERS\EMS7SK.sys [61056 2006-06-16] (ENE Technology Inc.)
R3 ESDCR; C:\Windows\System32\DRIVERS\ESD7SK.sys [40064 2006-06-16] (ENE Technology Inc.)
R3 ESMCR; C:\Windows\System32\DRIVERS\ESM7SK.sys [74752 2006-06-16] (ENE Technology Inc.)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
R1 MpKsl85084c0e; C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A37A77E8-62F7-43BA-BFEC-6EFD551A4146}\MpKsl85084c0e.sys [29904 2013-07-09] (Microsoft Corporation)
S3 SNPSTD3; C:\Windows\System32\DRIVERS\snpstd3.sys [10252544 2007-03-27] (Sonix Co. Ltd.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-09 22:16 - 2013-07-09 22:16 - 00000000 ____D C:\FRST
2013-07-09 22:15 - 2013-07-09 22:15 - 01216688 ____A (Farbar) C:\Users\Elke\Desktop\FRST.exe
2013-07-09 20:24 - 2013-07-09 20:24 - 01184022 ____A C:\Users\Elke\Desktop\gmer.log
2013-07-09 18:25 - 2013-07-09 18:25 - 00069916 ____A C:\Users\Elke\Desktop\Extras.Txt
2013-07-09 18:23 - 2013-07-09 18:23 - 00040898 ____A C:\Users\Elke\Desktop\OTL.Txt
2013-07-09 18:09 - 2013-07-09 18:09 - 00000482 ____A C:\Users\Elke\Desktop\defogger_disable.log
2013-07-09 18:09 - 2013-07-09 18:09 - 00000000 ____A C:\Users\Dirk-Admin\defogger_reenable
2013-07-09 18:08 - 2013-07-09 18:00 - 00602112 ____A (OldTimer Tools) C:\Users\Elke\Desktop\OTL.exe
2013-07-09 18:08 - 2013-07-09 18:00 - 00377856 ____A C:\Users\Elke\Desktop\gmer_2.1.19163.exe
2013-07-09 18:08 - 2013-07-09 17:59 - 00050477 ____A C:\Users\Elke\Desktop\Defogger.exe
2013-06-27 13:09 - 2013-07-09 18:04 - 00000000 ____D C:\Users\Elke\AppData\Roaming\Ihigwe
2013-06-27 13:09 - 2013-07-03 12:46 - 00000000 ____D C:\Users\Elke\AppData\Roaming\Fosi
2013-06-27 13:09 - 2013-06-27 13:09 - 00000000 ____D C:\Users\Elke\AppData\Roaming\Andiko
2013-06-16 21:18 - 2013-06-16 21:18 - 01034464 ____A (Solid State Networks) C:\Users\Elke\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe
2013-06-12 23:02 - 2013-06-08 13:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 23:02 - 2013-06-08 13:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 22:58 - 2013-05-17 03:26 - 00042496 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 22:58 - 2013-05-17 03:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 22:58 - 2013-05-14 10:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-12 09:26 - 2013-05-13 06:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 09:26 - 2013-05-13 06:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 09:26 - 2013-05-13 06:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 09:26 - 2013-05-13 05:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 09:26 - 2013-05-13 05:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 09:26 - 2013-05-10 05:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 09:26 - 2013-04-26 06:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 09:26 - 2013-04-26 01:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-12 09:21 - 2013-05-08 07:38 - 01293672 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 09:21 - 2013-05-06 07:06 - 03968872 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-06-12 09:21 - 2013-05-06 07:06 - 03913576 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-06-12 09:21 - 2013-04-17 09:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll

==================== One Month Modified Files and Folders =======

2013-07-09 22:16 - 2013-07-09 22:16 - 00000000 ____D C:\FRST
2013-07-09 22:15 - 2013-07-09 22:15 - 01216688 ____A (Farbar) C:\Users\Elke\Desktop\FRST.exe
2013-07-09 22:13 - 2012-07-04 19:21 - 00000000 ___SD C:\Users\Elke\Google Drive
2013-07-09 22:13 - 2011-05-04 19:34 - 00000437 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-09 22:12 - 2012-07-04 19:16 - 00001102 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-09 22:12 - 2009-07-14 06:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-09 22:12 - 2009-07-14 06:39 - 00194863 ____A C:\Windows\setupact.log
2013-07-09 22:00 - 2011-04-13 11:23 - 01662460 ____A C:\Windows\WindowsUpdate.log
2013-07-09 21:51 - 2012-07-04 19:16 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-09 21:05 - 2012-04-03 21:06 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-09 20:24 - 2013-07-09 20:24 - 01184022 ____A C:\Users\Elke\Desktop\gmer.log
2013-07-09 18:25 - 2013-07-09 18:25 - 00069916 ____A C:\Users\Elke\Desktop\Extras.Txt
2013-07-09 18:23 - 2013-07-09 18:23 - 00040898 ____A C:\Users\Elke\Desktop\OTL.Txt
2013-07-09 18:14 - 2009-07-14 06:34 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-09 18:14 - 2009-07-14 06:34 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-09 18:09 - 2013-07-09 18:09 - 00000482 ____A C:\Users\Elke\Desktop\defogger_disable.log
2013-07-09 18:09 - 2013-07-09 18:09 - 00000000 ____A C:\Users\Dirk-Admin\defogger_reenable
2013-07-09 18:09 - 2011-04-13 14:06 - 00000000 ____D C:\users\Dirk-Admin
2013-07-09 18:04 - 2013-06-27 13:09 - 00000000 ____D C:\Users\Elke\AppData\Roaming\Ihigwe
2013-07-09 18:00 - 2013-07-09 18:08 - 00602112 ____A (OldTimer Tools) C:\Users\Elke\Desktop\OTL.exe
2013-07-09 18:00 - 2013-07-09 18:08 - 00377856 ____A C:\Users\Elke\Desktop\gmer_2.1.19163.exe
2013-07-09 17:59 - 2013-07-09 18:08 - 00050477 ____A C:\Users\Elke\Desktop\Defogger.exe
2013-07-03 12:46 - 2013-06-27 13:09 - 00000000 ____D C:\Users\Elke\AppData\Roaming\Fosi
2013-07-02 10:39 - 2011-04-15 12:55 - 00000000 ____D C:\Users\Public\Documents\MAGIX_Video_deluxe_15_Premium
2013-07-02 10:23 - 2012-07-04 19:43 - 00000000 ____D C:\Users\Elke\AppData\Roaming\vlc
2013-07-02 10:21 - 2011-04-27 06:28 - 00000000 ____D C:\Users\Elke\Documents\MAGIX_MusicEditor
2013-07-02 10:12 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\NDF
2013-06-29 09:09 - 2011-04-13 11:38 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-27 13:13 - 2011-04-13 11:36 - 00000000 ____D C:\users\Elke
2013-06-27 13:09 - 2013-06-27 13:09 - 00000000 ____D C:\Users\Elke\AppData\Roaming\Andiko
2013-06-25 19:26 - 2012-12-04 21:37 - 00001048 ____A C:\Users\Public\Desktop\TeamViewer 8.lnk
2013-06-24 19:42 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Libraries
2013-06-18 11:42 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-06-16 21:18 - 2013-06-16 21:18 - 01034464 ____A (Solid State Networks) C:\Users\Elke\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe
2013-06-14 06:31 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-06-13 14:48 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-06-12 23:05 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-06-12 22:59 - 2011-04-13 14:20 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-12 21:40 - 2009-07-14 06:52 - 00000000 ____D C:\Windows\System32\FxsTmp
2013-06-12 16:06 - 2012-04-03 21:06 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-12 16:06 - 2011-05-13 21:20 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== End Of Log ============================
--- --- ---


und die Addition.txt:
Code:
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 09-07-2013 01
Ran by Elke at 2013-07-10 06:11:13
Running from C:\Users\Elke\Desktop
Boot Mode: Normal
==========================================================

32 Bit HP CIO Components Installer (Version: 7.1.8)
7-Zip 9.20
AAVUpdateManager (Version: 18.00.0000)
ACCU-CHEK(R) 360 (Version: 1.0.22)
ACCU-CHEK® 360° – Insulinpumpen-Konfigurationssoftware (Version: 1.0.22)
Adobe Digital Editions
Adobe Flash Player 11 ActiveX (Version: 11.7.700.224)
Adobe Flash Player 11 Plugin (Version: 11.7.700.224)
Adobe Reader X (10.1.7) - Deutsch (Version: 10.1.7)
Advanced System Protector (Version: 2.1.1000.10844)
Albelli Fotobücher
Amazon MP3-Downloader 1.0.15 (Version: 1.0.15)
Audiograbber 1.83 SE  (Version: 1.83 SE )
Audiograbber MP3-Plugin (Version: 1.0)
BufferChm (Version: 140.0.212.000)
C4700 (Version: 140.0.690.000)
CDBurnerXP (Version: 4.4.1.3099)
Citrix Online Plug-in - Web (HKCU Version: 11.2.0.31560)
Citrix Online Plug-in (DV) (Version: 11.2.0.31560)
Citrix Online Plug-in (HDX) (Version: 11.2.0.31560)
Citrix Online Plug-in (Web) (Version: 11.2.0.31560)
Cuttermaran 1.70 (Version: 1.7.0)
Destinations (Version: 140.0.77.000)
DeviceDiscovery (Version: 140.0.212.000)
ElsterFormular (Version: 13.2.0.8623p)
Firebird SQL Server - MAGIX Edition (Version: 2.1.31.0)
Garmin POI Loader (Version: 2.7.0)
Garmin USB Drivers (Version: 2.3.0.0)
Google Drive (Version: 1.10.4769.632)
Google Update Helper (Version: 1.3.21.145)
GPBaseService2 (Version: 140.0.211.000)
GPSBabel 1.4.3-beta20111112
HDAUDIO Soft Data Fax Modem with SmartCP
HP Customer Participation Program 14.0 (Version: 14.0)
HP Imaging Device Functions 14.0 (Version: 14.0)
HP Photosmart C4700 All-in-One Driver Software 14.0 Rel. 6 (Version: 14.0)
HP Smart Web Printing 4.60 (Version: 4.60)
HP Solution Center 14.0 (Version: 14.0)
HP Update (Version: 5.003.001.001)
HPDiagnosticAlert (Version: 1.00.0000)
HPPhotoGadget (Version: 140.0.524.000)
HPProductAssistant (Version: 140.0.212.000)
HPSSupply (Version: 140.0.211.000)
Intel(R) Graphics Media Accelerator Driver (Version: 8.15.10.1930)
IrfanView (remove only) (Version: 4.32)
Java Auto Updater (Version: 2.0.3.1)
Java(TM) 6 Update 24 (Version: 6.0.240)
JNLP
join.me (HKCU Version: 1.9.0.130)
LibreOffice 3.3 (Version: 3.3.202)
LibreOffice 3.3 Help Pack (German) (Version: 3.3.202)
MAGIX 3D Maker (embeded) (Version: 6.0.0.8)
MAGIX Foto Manager 8 6.0.1.457 (D) (Version: 6.0.1.457)
MAGIX Fotobuch 3.6 (Version: 3.6)
MAGIX Music Maker 2008 Producer Edition 13.0.0.16 (D) (Version: 13.0.0.16)
MAGIX Online Druck Service 3.4.3.0 (D) (Version: 3.4.3.0)
MAGIX Screenshare (Version: 4.3.6.1987)
MAGIX Screenshare 4.3.6.1987 (D) (Version: 4.3.6.1987)
MAGIX Speed burnR (MSI) (Version: 7.0.2.6)
MAGIX Video deluxe 15 Premium 8.0.2.5 (D) (Version: 8.0.2.5)
MAGIX Video deluxe 17 Plus Sonderedition (Version: 10.0.11.0)
MAGIX Video deluxe 2013 Plus (Version: 12.0.0.30)
MAGIX Xtreme Foto Designer 6 6.0.25.0 (D) (Version: 6.0.25.0)
MarketResearch (Version: 140.0.212.000)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Antimalware Service DE-DE Language Pack (Version: 3.0.8402.2)
Microsoft Application Error Reporting (Version: 12.0.6012.5000)
Microsoft IntelliPoint 8.2 (Version: 8.20.468.0)
Microsoft Security Client (Version: 4.2.0223.1)
Microsoft Security Client DE-DE Language Pack (Version: 2.1.1116.0)
Microsoft Security Essentials (Version: 4.2.223.1)
Microsoft Silverlight (Version: 5.1.20125.0)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (Version: 8.0.50727.4053)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (Version: 9.0.30729.5570)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft XML Parser (Version: 8.0.7820.0)
Mobile Partner (Version: 11.002.03.29.40)
Mozilla Firefox 15.0 (x86 de) (Version: 15.0)
Mozilla Maintenance Service (Version: 15.0)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
MSXML 4.0 SP3 Parser (KB2721691) (Version: 4.30.2114.0)
MSXML 4.0 SP3 Parser (KB2758694) (Version: 4.30.2117.0)
MSXML 4.0 SP3 Parser (Version: 4.30.2100.0)
Mufin MusicFinder Base 1.5.3.255 (D) (Version: 1.5.3.255)
MyPC Backup  (Version: )
Network (Version: 140.0.215.000)
OnlineFotoservice (Version: 5.0.1)
Pixum Fotobuch
ProtectDisc Helper Driver 10 (Version: 10.0.0.3)
PS_AIO_06_C4700_SW_Min (Version: 140.0.690.000)
PSPad editor
QuickTransfer (Version: 140.0.98.000)
Roadkil's Unstoppable Copier Version 5.2
Scan (Version: 140.0.80.000)
schobuk 2.0 (Version: schobuk 2.0)
Shop for HP Supplies (Version: 14.0)
ShufflePlusVLOI (Version: 1.00.0000)
simplitec simplicheck (Version: 1.2.6.0)
Skype Toolbars (Version: 5.3.7280)
Skype™ 6.1 (Version: 6.1.129)
SmartWebPrinting (Version: 140.0.186.000)
SolutionCenter (Version: 140.0.213.000)
Status (Version: 140.0.212.000)
steuern sparen 2012 (Version: 17.11)
Steuer-Software 2011 (Version: 16.11)
Steuer-Sparer 2013 (Version: 18.09)
TeamViewer 8 (Version: 8.0.19617)
Text-To-Speech-Runtime (Version: 1.0.0.0)
TomTom HOME (Version: 2.9.2)
TomTom HOME Visual Studio Merge Modules (Version: 1.0.2)
Toolbox (Version: 140.0.428.000)
TrayApp (Version: 140.0.212.000)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
VisiPics V1.31
VLC media player 2.0.1 (Version: 2.0.1)
WEB.DE Softwareaktualisierung (Version: 2.0.1.9)
WebReg (Version: 140.0.212.017)
Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (06/03/2009 2.3.0.0) (Version: 06/03/2009 2.3.0.0)
 

==================== Restore Points  =========================

Could not list Restore Points.


==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => ?
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => ?
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => ?

==================== Faulty Device Manager Devices =============

Name: Photosmart C4700 series
Description: Photosmart C4700 series
Class Guid: {4d36e971-e325-11ce-bfc1-08002be10318}
Manufacturer: HP
Service:
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Photosmart C4700 series
Description: Photosmart C4700 series
Class Guid: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
Manufacturer: HP
Service: StillCam
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (07/09/2013 09:08:37 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "assemblyIdentity1". Fehler in Manifest- oder Richtliniendatei "assemblyIdentity2" in Zeile assemblyIdentity3.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (07/03/2013 08:03:26 AM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "assemblyIdentity1". Fehler in Manifest- oder Richtliniendatei "assemblyIdentity2" in Zeile assemblyIdentity3.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (07/02/2013 07:20:10 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "assemblyIdentity1". Fehler in Manifest- oder Richtliniendatei "assemblyIdentity2" in Zeile assemblyIdentity3.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (07/01/2013 00:36:13 PM) (Source: Application Hang) (User: )
Description: Programm wmplayer.exe, Version 12.0.7601.17514 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: c08

Startzeit: 01ce7646b4153951

Endzeit: 132

Anwendungspfad: C:\Program Files\Windows Media Player\wmplayer.exe

Berichts-ID: 0385e40b-e23a-11e2-ac68-0016d4d210b5

Error: (07/01/2013 00:34:44 PM) (Source: Application Hang) (User: )
Description: Programm wmplayer.exe, Version 12.0.7601.17514 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 10c8

Startzeit: 01ce7646870c1509

Endzeit: 126

Anwendungspfad: C:\Program Files\Windows Media Player\wmplayer.exe

Berichts-ID: d11f3bc7-e239-11e2-ac68-0016d4d210b5

Error: (07/01/2013 00:32:22 PM) (Source: Application Hang) (User: )
Description: Programm wmplayer.exe, Version 12.0.7601.17514 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: e28

Startzeit: 01ce76462b81d063

Endzeit: 145

Anwendungspfad: C:\Program Files\Windows Media Player\wmplayer.exe

Berichts-ID: 7ba59e01-e239-11e2-ac68-0016d4d210b5

Error: (07/01/2013 09:02:00 AM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "assemblyIdentity1". Fehler in Manifest- oder Richtliniendatei "assemblyIdentity2" in Zeile assemblyIdentity3.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (06/30/2013 10:32:20 AM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "assemblyIdentity1". Fehler in Manifest- oder Richtliniendatei "assemblyIdentity2" in Zeile assemblyIdentity3.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (06/29/2013 00:02:39 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "assemblyIdentity1". Fehler in Manifest- oder Richtliniendatei "assemblyIdentity2" in Zeile assemblyIdentity3.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (06/28/2013 05:32:16 PM) (Source: Application Hang) (User: )
Description: Programm firefox.exe, Version 15.0.0.4619 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 20cc

Startzeit: 01ce7410b769dae7

Endzeit: 20

Anwendungspfad: C:\Program Files\Mozilla Firefox\firefox.exe

Berichts-ID: dfcd9e02-e007-11e2-89d9-0016d4d210b5


System errors:
=============
Error: (07/10/2013 05:57:23 AM) (Source: ipnathlp) (User: )
Description:

Error: (07/10/2013 05:55:16 AM) (Source: ipnathlp) (User: )
Description: 0

Error: (07/10/2013 05:55:12 AM) (Source: ipnathlp) (User: )
Description:

Error: (07/09/2013 10:48:37 PM) (Source: Microsoft-Windows-HAL) (User: )
Description: Der Speicher wurde beim letzten Leistungsübergang des Systems von der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte Firmware verfügbar ist.

Error: (07/09/2013 10:41:22 PM) (Source: ipnathlp) (User: )
Description:

Error: (07/09/2013 10:29:15 PM) (Source: ipnathlp) (User: )
Description:

Error: (07/09/2013 10:22:48 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.

Error: (07/09/2013 10:17:05 PM) (Source: ipnathlp) (User: )
Description:

Error: (07/09/2013 10:13:42 PM) (Source: ipnathlp) (User: )
Description: 192.168.178.41192.168.137.0255.255.255.0

Error: (07/09/2013 09:51:15 PM) (Source: ipnathlp) (User: )
Description: 192.168.178.41192.168.137.0255.255.255.0


Microsoft Office Sessions:
=========================
Error: (07/09/2013 09:08:37 PM) (Source: SideBySide)(User: )
Description: assemblyIdentitylanguage*c:\program files\schobuk\delzip179.dllc:\program files\schobuk\delzip179.dll8

Error: (07/03/2013 08:03:26 AM) (Source: SideBySide)(User: )
Description: assemblyIdentitylanguage*c:\program files\schobuk\delzip179.dllc:\program files\schobuk\delzip179.dll8

Error: (07/02/2013 07:20:10 PM) (Source: SideBySide)(User: )
Description: assemblyIdentitylanguage*c:\program files\schobuk\delzip179.dllc:\program files\schobuk\delzip179.dll8

Error: (07/01/2013 00:36:13 PM) (Source: Application Hang)(User: )
Description: wmplayer.exe12.0.7601.17514c0801ce7646b4153951132C:\Program Files\Windows Media Player\wmplayer.exe0385e40b-e23a-11e2-ac68-0016d4d210b5

Error: (07/01/2013 00:34:44 PM) (Source: Application Hang)(User: )
Description: wmplayer.exe12.0.7601.1751410c801ce7646870c1509126C:\Program Files\Windows Media Player\wmplayer.exed11f3bc7-e239-11e2-ac68-0016d4d210b5

Error: (07/01/2013 00:32:22 PM) (Source: Application Hang)(User: )
Description: wmplayer.exe12.0.7601.17514e2801ce76462b81d063145C:\Program Files\Windows Media Player\wmplayer.exe7ba59e01-e239-11e2-ac68-0016d4d210b5

Error: (07/01/2013 09:02:00 AM) (Source: SideBySide)(User: )
Description: assemblyIdentitylanguage*c:\program files\schobuk\delzip179.dllc:\program files\schobuk\delzip179.dll8

Error: (06/30/2013 10:32:20 AM) (Source: SideBySide)(User: )
Description: assemblyIdentitylanguage*c:\program files\schobuk\delzip179.dllc:\program files\schobuk\delzip179.dll8

Error: (06/29/2013 00:02:39 PM) (Source: SideBySide)(User: )
Description: assemblyIdentitylanguage*c:\program files\schobuk\delzip179.dllc:\program files\schobuk\delzip179.dll8

Error: (06/28/2013 05:32:16 PM) (Source: Application Hang)(User: )
Description: firefox.exe15.0.0.461920cc01ce7410b769dae720C:\Program Files\Mozilla Firefox\firefox.exedfcd9e02-e007-11e2-89d9-0016d4d210b5


==================== Memory info ===========================

Percentage of memory in use: 42%
Total physical RAM: 2038.12 MB
Available physical RAM: 1177.64 MB
Total Pagefile: 4076.23 MB
Available Pagefile: 2954.5 MB
Total Virtual: 2047.88 MB
Available Virtual: 1887.29 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:52.9 GB) (Free:3.58 GB) NTFS
Drive d: (DATA) (Fixed) (Total:405.81 GB) (Free:40.23 GB) NTFS

==================== MBR & Partition Table ==================

==================== End Of Log ============================
ich dachte ich häte den Energiespaarmodus ausgeschaltet, dochscheinbar hatte ich es vergessen, und er ist wärend des Scanns wieder in den Suspend gegangen...

Im ersten Log steht ein Warning, das nicht der Admin den Scan gestartet hat? Aber da es auch nicht in der Anleitung stand gehe ich mal davon aus das dies richtig so war ;)

Ich werde mich, aller vorraussicht nach, erst heute Abend wieder melden können für die nächsten Schritte.

Auf bald, und schönen Tag noch

schrauber 10.07.2013 09:12
Jap, das ist verseucht.
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

SolarPlexus 10.07.2013 19:25
Hallo,

ok, da lief einiges. Log Anbei. Auffällig ist nun, das der Windows-Explorer verdammt langsam ist, bzw. sich aufhängt. Hatte etwas probleme das log auf den usb-Stick zu bekommen.
Code:
ComboFix 13-07-09.01 - Dirk-Admin 10.07.2013  19:26:01.1.2 - x86
Microsoft Windows 7 Home Premium  6.1.7601.1.1252.49.1031.18.2038.1240 [GMT 2:00]
ausgeführt von:: c:\users\Elke\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Disabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Microsoft
c:\users\Elke\4.0
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\roboot.exe
D:\install.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-06-10 bis 2013-07-10  ))))))))))))))))))))))))))))))
.
.
2013-07-10 17:38 . 2013-07-10 17:39        --------        d-----w-        c:\users\Dirk-Admin\AppData\Local\temp
2013-07-10 17:38 . 2013-07-10 17:38        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-07-10 17:37 . 2013-07-10 17:37        --------        d-----w-        c:\users\test\AppData\Local\temp
2013-07-09 20:16 . 2013-07-09 20:16        --------        d-----w-        C:\FRST
2013-07-09 20:13 . 2013-07-09 20:13        29904        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A37A77E8-62F7-43BA-BFEC-6EFD551A4146}\MpKsl85084c0e.sys
2013-07-09 18:35 . 2013-06-12 04:18        7068072        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A37A77E8-62F7-43BA-BFEC-6EFD551A4146}\mpengine.dll
2013-07-03 06:21 . 2013-06-12 04:18        7068072        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-06-27 11:09 . 2013-07-09 16:04        --------        d-----w-        c:\users\Elke\AppData\Roaming\Ihigwe
2013-06-27 11:09 . 2013-07-03 10:46        --------        d-----w-        c:\users\Elke\AppData\Roaming\Fosi
2013-06-27 11:09 . 2013-06-27 11:09        --------        d-----w-        c:\users\Elke\AppData\Roaming\Andiko
2013-06-22 07:48 . 2013-06-22 07:47        724464        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{22371B1B-5048-49CF-A107-E3A62ACE1AF7}\gapaengine.dll
2013-06-12 21:02 . 2013-06-08 11:41        218112        ----a-w-        c:\program files\Internet Explorer\sqmapi.dll
2013-06-12 21:02 . 2013-06-08 11:13        2706432        ----a-w-        c:\windows\system32\mshtml.tlb
2013-06-12 07:26 . 2013-04-25 23:30        1505280        ----a-w-        c:\windows\system32\d3d11.dll
2013-06-12 07:26 . 2013-05-10 03:20        24576        ----a-w-        c:\windows\system32\cryptdlg.dll
2013-06-12 07:26 . 2013-04-26 04:55        492544        ----a-w-        c:\windows\system32\win32spl.dll
2013-06-12 07:26 . 2013-05-13 03:08        903168        ----a-w-        c:\windows\system32\certutil.exe
2013-06-12 07:26 . 2013-05-13 04:45        1160192        ----a-w-        c:\windows\system32\crypt32.dll
2013-06-12 07:26 . 2013-05-13 04:45        103936        ----a-w-        c:\windows\system32\cryptnet.dll
2013-06-12 07:26 . 2013-05-13 04:45        140288        ----a-w-        c:\windows\system32\cryptsvc.dll
2013-06-12 07:26 . 2013-05-13 03:08        43008        ----a-w-        c:\windows\system32\certenc.dll
2013-06-12 07:21 . 2013-04-17 07:02        1230336        ----a-w-        c:\windows\system32\WindowsCodecs.dll
2013-06-12 07:21 . 2013-05-06 05:06        3913576        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-06-12 07:21 . 2013-05-06 05:06        3968872        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2013-06-12 07:21 . 2013-05-08 05:38        1293672        ----a-w-        c:\windows\system32\drivers\tcpip.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-12 14:06 . 2012-04-03 19:06        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-06-12 14:06 . 2011-05-13 19:20        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-21 19:07 . 2011-04-13 12:57        724464        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-05-17 09:21 . 2011-07-01 10:48        893552        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2013-05-17 09:21 . 2011-07-01 10:48        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2013-05-17 09:21 . 2011-06-30 08:08        1236816        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2013-05-02 15:28 . 2011-04-13 09:53        238872        ------w-        c:\windows\system32\MpSigStub.exe
2013-04-13 04:45 . 2013-05-15 15:34        474624        ----a-w-        c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-15 15:34        2176512        ----a-w-        c:\windows\apppatch\AcGenral.dll
2013-04-12 13:45 . 2013-04-24 05:44        1211752        ----a-w-        c:\windows\system32\drivers\ntfs.sys
2012-08-25 02:00 . 2012-09-06 05:31        266720        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveBlacklistedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedEditOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedEditOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedViewOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncingOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="d:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-01-08 18705664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 150552]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TrayServer"="c:\program files\MAGIX\Video_deluxe_17_Plus_Sonderedition\TrayServer.exe" [2008-08-07 90112]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2011-08-01 1821576]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv.exe -o" [X]
"*WerKernelReporting"="c:\windows\SYSTEM32\WerFault.exe" [2009-07-14 360448]
"InnoSetupRegFile.0000000001"="c:\windows\is-5FM8E.exe" [2012-05-24 1556992]
.
c:\users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
MyPC Backup.lnk - c:\program files\MyPC Backup\MyPC Backup.exe [2013-5-25 1934376]
simplicheck.lnk - c:\program files\simplitec\simplicheck\simplicheck.exe -timer [2012-4-19 2891072]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-11-18 275072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2013-01-08 161536]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2011-04-26 2702848]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-01-20 100328]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\NisSrv.exe [2013-01-27 295232]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
S1 MpKsl85084c0e;MpKsl85084c0e;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A37A77E8-62F7-43BA-BFEC-6EFD551A4146}\MpKsl85084c0e.sys [2013-07-09 29904]
S2 AAV UpdateService;AAV UpdateService;c:\program files\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 BackupStack;Computer Backup (MyPC Backup);c:\program files\MyPC Backup\BackupStack.exe [2013-05-25 32808]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2011-05-24 1840128]
S2 TeamViewer8;TeamViewer 8;c:\program files\TeamViewer\Version8\TeamViewer_Service.exe [2013-07-08 4153184]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2012-08-28 92632]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MPKSL85084C0E
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
HPService        REG_MULTI_SZ          HPSLPSVC
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 14:06]
.
2013-07-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-04 17:16]
.
2013-07-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-04 17:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com/?l=dis&o=15362
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{6BF688EA-43C1-4051-9478-10C4A8D99C70}: DhcpNameServer = 192.168.178.1
FF - ProfilePath -
.
.
------- Dateityp-Verknüpfung -------
.
txtfile="d:\program files\PSPad editor\PSPad.exe" "%1"
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-07-10  19:40:51
ComboFix-quarantined-files.txt  2013-07-10 17:40
.
Vor Suchlauf: 3.396.431.872 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14.149.226.496 Bytes frei
.
- - End Of File - - 610006CF36F5442749B2FCB34BC42A64
A36C5E4F47E84449FF07ED3517B43A31
Viele Grüße, und ich bin weiterhin gespannt ;)
Dirk

schrauber 10.07.2013 20:38
Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
    Code:
    Folder::
    c:\users\Elke\AppData\Roaming\Ihigwe
    c:\users\Elke\AppData\Roaming\Fosi
    c:\users\Elke\AppData\Roaming\Andiko
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.



und ein frisches FRST log bitte.

SolarPlexus 10.07.2013 21:29
Uff, ok... Soweit dieses.

Also, hier das Combofixlog:
Combofix Logfile:
Code:
ComboFix 13-07-09.01 - Dirk-Admin 10.07.2013  21:50:30.2.2 - x86
Microsoft Windows 7 Home Premium  6.1.7601.1.1252.49.1031.18.2038.979 [GMT 2:00]
ausgeführt von:: c:\users\Elke\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Elke\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Disabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Elke\AppData\Roaming\Andiko
c:\users\Elke\AppData\Roaming\Andiko\ikib.elq
c:\users\Elke\AppData\Roaming\Fosi
c:\users\Elke\AppData\Roaming\Ihigwe
c:\users\Elke\AppData\Roaming\Ihigwe\aveme.exe.VIRUS
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-06-10 bis 2013-07-10  ))))))))))))))))))))))))))))))
.
.
2013-07-10 20:00 . 2013-07-10 20:00        --------        d-----w-        c:\users\Dirk-Admin\AppData\Local\temp
2013-07-10 20:00 . 2013-07-10 20:00        --------        d-----w-        c:\users\test\AppData\Local\temp
2013-07-10 20:00 . 2013-07-10 20:00        --------        d-----w-        c:\users\Elke\AppData\Local\temp
2013-07-10 20:00 . 2013-07-10 20:00        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-07-10 18:16 . 2013-07-10 18:16        --------        d-----w-        c:\users\Dirk-Admin\AppData\Local\Mozilla
2013-07-09 20:16 . 2013-07-09 20:16        --------        d-----w-        C:\FRST
2013-07-09 18:35 . 2013-06-12 04:18        7068072        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A37A77E8-62F7-43BA-BFEC-6EFD551A4146}\mpengine.dll
2013-07-03 06:21 . 2013-06-12 04:18        7068072        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-06-22 07:48 . 2013-06-22 07:47        724464        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{22371B1B-5048-49CF-A107-E3A62ACE1AF7}\gapaengine.dll
2013-06-12 21:02 . 2013-06-08 11:41        218112        ----a-w-        c:\program files\Internet Explorer\sqmapi.dll
2013-06-12 21:02 . 2013-06-08 11:13        2706432        ----a-w-        c:\windows\system32\mshtml.tlb
2013-06-12 07:26 . 2013-04-25 23:30        1505280        ----a-w-        c:\windows\system32\d3d11.dll
2013-06-12 07:26 . 2013-05-10 03:20        24576        ----a-w-        c:\windows\system32\cryptdlg.dll
2013-06-12 07:26 . 2013-04-26 04:55        492544        ----a-w-        c:\windows\system32\win32spl.dll
2013-06-12 07:26 . 2013-05-13 03:08        903168        ----a-w-        c:\windows\system32\certutil.exe
2013-06-12 07:26 . 2013-05-13 04:45        1160192        ----a-w-        c:\windows\system32\crypt32.dll
2013-06-12 07:26 . 2013-05-13 04:45        103936        ----a-w-        c:\windows\system32\cryptnet.dll
2013-06-12 07:26 . 2013-05-13 04:45        140288        ----a-w-        c:\windows\system32\cryptsvc.dll
2013-06-12 07:26 . 2013-05-13 03:08        43008        ----a-w-        c:\windows\system32\certenc.dll
2013-06-12 07:21 . 2013-04-17 07:02        1230336        ----a-w-        c:\windows\system32\WindowsCodecs.dll
2013-06-12 07:21 . 2013-05-06 05:06        3913576        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-06-12 07:21 . 2013-05-06 05:06        3968872        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2013-06-12 07:21 . 2013-05-08 05:38        1293672        ----a-w-        c:\windows\system32\drivers\tcpip.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-12 14:06 . 2012-04-03 19:06        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-06-12 14:06 . 2011-05-13 19:20        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-21 19:07 . 2011-04-13 12:57        724464        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-05-17 09:21 . 2011-07-01 10:48        893552        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2013-05-17 09:21 . 2011-07-01 10:48        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2013-05-17 09:21 . 2011-06-30 08:08        1236816        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2013-05-02 15:28 . 2011-04-13 09:53        238872        ------w-        c:\windows\system32\MpSigStub.exe
2013-04-13 04:45 . 2013-05-15 15:34        474624        ----a-w-        c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-15 15:34        2176512        ----a-w-        c:\windows\apppatch\AcGenral.dll
2013-04-12 13:45 . 2013-04-24 05:44        1211752        ----a-w-        c:\windows\system32\drivers\ntfs.sys
2012-08-25 02:00 . 2012-09-06 05:31        266720        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveBlacklistedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedEditOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedEditOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedViewOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncingOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2013-06-06 21:57        578512        ----a-w-        c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="d:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-01-08 18705664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 150552]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"TrayServer"="c:\program files\MAGIX\Video_deluxe_17_Plus_Sonderedition\TrayServer.exe" [2008-08-07 90112]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2011-08-01 1821576]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv.exe -o" [X]
"*WerKernelReporting"="c:\windows\SYSTEM32\WerFault.exe" [2009-07-14 360448]
"InnoSetupRegFile.0000000001"="c:\windows\is-5FM8E.exe" [2012-05-24 1556992]
.
c:\users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
MyPC Backup.lnk - c:\program files\MyPC Backup\MyPC Backup.exe [2013-5-25 1934376]
simplicheck.lnk - c:\program files\simplitec\simplicheck\simplicheck.exe -timer [2012-4-19 2891072]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-11-18 275072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2013-01-08 161536]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2011-04-26 2702848]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-01-20 100328]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\NisSrv.exe [2013-01-27 295232]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
S2 AAV UpdateService;AAV UpdateService;c:\program files\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 BackupStack;Computer Backup (MyPC Backup);c:\program files\MyPC Backup\BackupStack.exe [2013-05-25 32808]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2011-05-24 1840128]
S2 TeamViewer8;TeamViewer 8;c:\program files\TeamViewer\Version8\TeamViewer_Service.exe [2013-07-08 4153184]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2012-08-28 92632]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
HPService        REG_MULTI_SZ          HPSLPSVC
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 14:06]
.
2013-07-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-04 17:16]
.
2013-07-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-04 17:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com/?l=dis&o=15362
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{6BF688EA-43C1-4051-9478-10C4A8D99C70}: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Dirk-Admin\AppData\Roaming\Mozilla\Firefox\Profiles\y6qs53c7.default\
FF - ExtSQL: !HIDDEN! 2011-04-15 12:39; smartwebprinting@hp.com; c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-07-10  22:02:36
ComboFix-quarantined-files.txt  2013-07-10 20:02
ComboFix2.txt  2013-07-10 17:40
.
Vor Suchlauf: 13 Verzeichnis(se), 13.839.130.624 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 13.662.912.512 Bytes frei
.
- - End Of File - - 4456912DA6E6662871D335B43E8BA1FA
--- --- ---
A36C5E4F47E84449FF07ED3517B43A31
[/CODE]

ich musste nach combofix den rechner neu starten, weil der Desktop ganz komisch aussah (shortcuts zum teil weg unten in der Taskleiste).

Danach ADWCleaner (ein Neustart, danach kam nichts mehr, Textdatei wurde nicht geöffnet automatisch. Ein log wurde erstellt):
AdwCleaner Logfile:
Code:
# AdwCleaner v2.304 - Datei am 10/07/2013 um 22:10:13 erstellt
# Aktualisiert am 03/07/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : Dirk-Admin - WIN7-ELKE
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Elke\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\searchplugins\11-suche.xml
Ordner Gelöscht : C:\Program Files\Advanced System Protector
Ordner Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector
Ordner Gelöscht : C:\Users\Dirk-Admin\AppData\LocalLow\AskToolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16611

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://de.ask.com/?l=dis&o=15362 --> hxxp://www.google.com

-\\ Mozilla Firefox v15.0 (de)

Datei : C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\prefs.js

C:\Users\Elke\AppData\Roaming\Mozilla\Firefox\Profiles\j0dy12ba.default\user.js ... Gelöscht !

Gelöscht : user_pref("extensions.crossriderapp21728.21728.InstallationTime", 1355814854);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.active", true);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.addressbar", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.addressbarenhanced", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.backgroundjs", "\n\n/********************************[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.backgroundver", 7);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.can_run_bg_code", true);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.certdomaininstaller", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.changeprevious", false);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.cookie.InstallationTime.expiration", "Fri Feb 01 2030[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.cookie.InstallationTime.value", "1355814854");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.cookie.SESRconf.expiration", "Fri Feb 01 2030 00:00:0[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.cookie.SESRconf.value", "%7B%22config%22%3A%7B%22slee[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.description", "Der Shop-Engel findet automatisch Part[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.domain", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.enablesearch", false);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.fbremoteurl", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.group", 0);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.homepage", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.iframe", false);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_appVer.expiration", "Fri Feb 01 [...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_appVer.value", "43");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_lastVersion.expiration", "Fri Fe[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_lastVersion.value", "14");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_meta.expiration", "Fri Feb 01 20[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_meta.value", "%7B%22SESR_speech.[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_nextCheck.expiration", "Thu Jul [...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_nextCheck.value", "true");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_queue.expiration", "Fri Feb 01 2[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_queue.value", "%7B%7D");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_remote_resources.expiration", "F[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_remote_resources.value", "%7B%22[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63119.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63119.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63120.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63120.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63121.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63121.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63122.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63122.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63123.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63123.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63124.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63124.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63125.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63125.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63126.expiration", "Sun[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63126.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63127.expiration", "Sun[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63127.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63128.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63128.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63129.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63129.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63130.expiration", "Tue[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.internaldb.Resources_resource_63130.value", "%22data%[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.js", "\n\n/******************************************[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.manifesturl", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.name", "Shop-Engel");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.newtab", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.opensearch", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_1.code", "appAPI._cr_config={appID:fun[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_1.name", "base");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_1.ver", 6);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_13.code", "(function(a){a.selectedText[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_13.name", "CrossriderAppUtils");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_13.ver", 3);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_14.code", "if(typeof(appAPI)===\"undef[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_14.name", "CrossriderUtils");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_14.ver", 3);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_16.code", "if((typeof isBackground===\[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_16.name", "FFAppAPIWrapper");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_16.ver", 7);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_17.code", "if(typeof window!==\"undefi[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_17.name", "jQuery");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_17.ver", 4);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_21.code", "var CrossriderDebugManager=[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_21.name", "debug");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_21.ver", 4);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_22.code", "(function(a){appAPI.queueMa[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_22.name", "resources");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_22.ver", 4);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_28.code", "var CrossriderInitializerPl[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_28.name", "initializer");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_28.ver", 3);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_4.code", "var jQuery = $jquery_171 = $[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_4.name", "jquery_1_7_1");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_4.ver", 4);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_47.code", "(function(){appAPI.ready=fu[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_47.name", "resources_background");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_47.ver", 3);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_64.code", "(function(){var h=\"__CR_EM[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_64.name", "appApiMessage");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_64.ver", 2);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_72.code", "if(appAPI.__should_activate[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_72.name", "appApiValidation");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_72.ver", 3);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_78.code", "if(typeof jQuery!==\"undefi[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_78.name", "CrossriderInfo");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_78.ver", 3);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_98.code", "(function(){var b=\"cr_\"+a[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_98.name", "omniCommands");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins.plugin_98.ver", 2);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins_lists.plugins_0", "4,14,78,16,64,47,72,98");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins_lists.plugins_1", "17,14,78,13,16,64,4,1,21,2[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.plugins_lists.plugins_5", "4,14,78,13,16,64,47,72");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.pluginsurl", "hxxps://w9u6a2p6.ssl.hwcdn.net/plugin/a[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.pluginsversion", 7);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.publisher", "Schulengel.de");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.searchstatus", 0);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.setnewtab", false);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.settingsurl", "");
Gelöscht : user_pref("extensions.crossriderapp21728.21728.thankyou", "hxxps://www.schulengel.de/index.php?id=21[...]
Gelöscht : user_pref("extensions.crossriderapp21728.21728.updateinterval", 360);
Gelöscht : user_pref("extensions.crossriderapp21728.21728.ver", 43);
Gelöscht : user_pref("extensions.crossriderapp21728.apps", "21728");
Gelöscht : user_pref("extensions.crossriderapp21728.bic", "13bacdcdf4a2b101b24d765bdfaf7994");
Gelöscht : user_pref("extensions.crossriderapp21728.cid", 21728);
Gelöscht : user_pref("extensions.crossriderapp21728.firstrun", false);
Gelöscht : user_pref("extensions.crossriderapp21728.hadappinstalled", true);
Gelöscht : user_pref("extensions.crossriderapp21728.installationdate", 1355814854);
Gelöscht : user_pref("extensions.crossriderapp21728.lastcheck", 22891280);
Gelöscht : user_pref("extensions.crossriderapp21728.lastcheckitem", 22891425);
Gelöscht : user_pref("extensions.crossriderapp21728.modetype", "production");
Gelöscht : user_pref("extensions.crossriderapp21728.reportInstall", true);
Gelöscht : user_pref("extensions.crossriderapp21728.statsDailyCounter", 398);

Datei : C:\Users\Dirk-Admin\AppData\Roaming\Mozilla\Firefox\Profiles\y6qs53c7.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\bnda5203.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [14817 octets] - [10/07/2013 22:10:13]

########## EOF - \AdwCleaner[S1].txt - [14878 octets] ##########
--- --- ---


Dann JRT:
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.0.4 (07.10.2013:1)
OS: Windows 7 Home Premium x86
Ran by Dirk-Admin on 10.07.2013 at 22:18:02,44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\distromatic
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\systweak
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\systweak



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\simplitec"
Successfully deleted: [Folder] "C:\ProgramData\systweak"
Successfully deleted: [Folder] "C:\Users\Dirk-Admin\AppData\Roaming\simplitec"
Successfully deleted: [Folder] "C:\Users\Dirk-Admin\AppData\Roaming\systweak"
Successfully deleted: [Folder] "C:\Program Files\simplitec"



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10.07.2013 at 22:20:06,74
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Neustart, weil auf dem Desktop wieder nicht alles da war, dann nochmal FRST:
[CODE]
FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-07-2013 01
Ran by Dirk-Admin (administrator) on 10-07-2013 22:24:23
Running from C:\Users\Elke\Desktop
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
() C:\Program Files\AAVUpdateManager\aavus.exe
(Skype Technologies) C:\Program Files\Skype\Updater\Updater.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe
(TomTom) C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
(Conexant Systems, Inc.) C:\Windows\system32\DRIVERS\xaudio.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version8\TeamViewer.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
() C:\Windows\vsnpstd3.exe
(Microsoft Corporation) C:\Program Files\Microsoft IntelliPoint\ipoint.exe
(Hewlett-Packard) C:\Program Files\HP\HP Software Update\hpwuschd2.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Citrix Systems, Inc.) C:\Users\Elke\AppData\Local\Citrix\ICA Client\concentr.exe
(TomTom) C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
(Google) C:\Program Files\Google\Drive\googledrivesync.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version8\tv_w32.exe
(Citrix Systems, Inc.) C:\Users\Elke\AppData\Local\Citrix\ICA Client\wfcrun32.exe
(Google) C:\Program Files\Google\Drive\googledrivesync.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
(Hewlett-Packard) C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IgfxTray] - C:\Windows\system32\igfxtray.exe [141848 2009-09-23] (Intel Corporation)
HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [173592 2009-09-23] (Intel Corporation)
HKLM\...\Run: [Persistence] - C:\Windows\system32\igfxpers.exe [150552 2009-09-23] (Intel Corporation)
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [snpstd3] - C:\Windows\vsnpstd3.exe [827392 2006-09-19] ()
HKLM\...\Run: [TrayServer] - C:\Program Files\MAGIX\Video_deluxe_17_Plus_Sonderedition\TrayServer.exe [90112 2008-08-07] (MAGIX AG)
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [IntelliPoint] - "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [1821576 2011-08-01] (Microsoft Corporation)
HKLM\...\Run: [HP Software Update] - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [49208 2011-05-10] (Hewlett-Packard)
HKLM\...\Run: [MSC] - "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey [947152 2013-01-27] (Microsoft Corporation)
HKLM\...\Runonce: [*WerKernelReporting] - %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [x]
HKLM\...\RunOnce: [InnoSetupRegFile.0000000001] - "C:\Windows\is-5FM8E.exe" /REG [1556992 2012-05-24] ()
HKLM\...\Runonce: [GrpConv] - grpconv.exe -o [x]
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, [x]
HKCU\...\Run: [TomTomHOME.exe] - "D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" [247768 2012-08-28] (TomTom)
HKCU\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized [18705664 2013-01-08] (Skype Technologies S.A.)
HKCU\...\Policies\system: [DisableRegistryTools] 0
HKCU\...\Policies\system: [DisableTaskMgr] 0
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
Startup: C:\ProgramData\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
Startup: C:\Users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk
ShortcutTarget: MyPC Backup.lnk -> C:\Program Files\MyPC Backup\MyPC Backup.exe (MyPCBackup.com)
Startup: C:\Users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\simplicheck.lnk
ShortcutTarget: simplicheck.lnk -> C:\Program Files\simplitec\simplicheck\simplicheck.exe (No File)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
BHO: Skype Plug-In - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Dirk-Admin\AppData\Roaming\Mozilla\Firefox\Profiles\y6qs53c7.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.0.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: amazon.com/AmazonMP3DownloaderPlugin - C:\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin.dll (Amazon.com, Inc.)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: Default - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

========================== Services (Whitelisted) =================

R2 AAV UpdateService; C:\Program Files\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
S2 BackupStack; C:\Program Files\MyPC Backup\BackupStack.exe [32808 2013-05-25] (Just Develop It)
S2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128 2011-05-24] (MAGIX AG)
S3 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)
S3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation)
S3 UPnPService; C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [544768 2006-12-14] (Magix AG)

==================== Drivers (Whitelisted) ====================

R2 acedrv10; C:\Windows\system32\drivers\acedrv10.sys [330144 2007-07-27] (Protect Software GmbH)
R2 acehlp10; C:\Windows\system32\drivers\acehlp10.sys [251680 2007-07-27] (Protect Software GmbH)
R3 EMSCR; C:\Windows\System32\DRIVERS\EMS7SK.sys [61056 2006-06-16] (ENE Technology Inc.)
R3 ESDCR; C:\Windows\System32\DRIVERS\ESD7SK.sys [40064 2006-06-16] (ENE Technology Inc.)
R3 ESMCR; C:\Windows\System32\DRIVERS\ESM7SK.sys [74752 2006-06-16] (ENE Technology Inc.)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
S3 SNPSTD3; C:\Windows\System32\DRIVERS\snpstd3.sys [10252544 2007-03-27] (Sonix Co. Ltd.)
S3 catchme; \??\C:\Users\DIRK-A~1\AppData\Local\Temp\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-10 22:20 - 2013-07-10 22:20 - 00001197 ____A C:\Users\Dirk-Admin\Desktop\JRT.txt
2013-07-10 22:17 - 2013-07-10 22:17 - 00000000 ____D C:\Windows\ERUNT
2013-07-10 22:10 - 2013-07-10 22:10 - 00014946 ____A C:\AdwCleaner[S1].txt
2013-07-10 22:09 - 2013-07-10 22:03 - 00650027 ____A C:\Users\Elke\Desktop\adwcleaner.exe
2013-07-10 22:09 - 2013-07-10 22:03 - 00552874 ____A (Oleg N. Scherbakov) C:\Users\Elke\Desktop\JRT.exe
2013-07-10 22:02 - 2013-07-10 22:02 - 00014450 ____A C:\ComboFix.txt
2013-07-10 21:48 - 2013-07-10 21:48 - 00084782 ____A C:\Users\Elke\Desktop\137981-befall-trojan-spy-win32-zbot-mzqa-laut-disinfec-t-2013-a.html
2013-07-10 21:42 - 2013-07-10 21:42 - 05087643 ____R (Swearware) C:\Users\Elke\Desktop\ComboFix.exe
2013-07-10 21:24 - 2013-07-10 22:22 - 00000437 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-10 20:16 - 2013-07-10 20:17 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Roaming\Mozilla
2013-07-10 20:16 - 2013-07-10 20:16 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Local\Mozilla
2013-07-10 19:23 - 2013-07-10 22:02 - 00000000 ___AD C:\Qoobox
2013-07-10 19:23 - 2011-06-26 08:45 - 00256000 ____A C:\Windows\PEV.exe
2013-07-10 19:23 - 2010-11-07 19:20 - 00208896 ____A C:\Windows\MBR.exe
2013-07-10 19:23 - 2009-04-20 06:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00098816 ____A C:\Windows\sed.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00080412 ____A C:\Windows\grep.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00068096 ____A C:\Windows\zip.exe
2013-07-10 19:22 - 2013-07-10 19:39 - 00000000 ____D C:\Windows\erdnt
2013-07-10 06:11 - 2013-07-10 06:11 - 00015686 ____A C:\Users\Elke\Desktop\Addition.txt
2013-07-09 22:16 - 2013-07-09 22:16 - 00000000 ____D C:\FRST
2013-07-09 22:15 - 2013-07-09 22:15 - 01216688 ____A (Farbar) C:\Users\Elke\Desktop\FRST.exe
2013-07-09 20:24 - 2013-07-09 20:24 - 01184022 ____A C:\Users\Elke\Desktop\gmer.log
2013-07-09 18:25 - 2013-07-09 18:25 - 00069916 ____A C:\Users\Elke\Desktop\Extras.Txt
2013-07-09 18:23 - 2013-07-09 18:23 - 00040898 ____A C:\Users\Elke\Desktop\OTL.Txt
2013-07-09 18:09 - 2013-07-09 18:09 - 00000482 ____A C:\Users\Elke\Desktop\defogger_disable.log
2013-07-09 18:09 - 2013-07-09 18:09 - 00000000 ____A C:\Users\Dirk-Admin\defogger_reenable
2013-07-09 18:08 - 2013-07-09 18:00 - 00602112 ____A (OldTimer Tools) C:\Users\Elke\Desktop\OTL.exe
2013-07-09 18:08 - 2013-07-09 18:00 - 00377856 ____A C:\Users\Elke\Desktop\gmer_2.1.19163.exe
2013-07-09 18:08 - 2013-07-09 17:59 - 00050477 ____A C:\Users\Elke\Desktop\Defogger.exe
2013-06-16 21:18 - 2013-06-16 21:18 - 01034464 ____A (Solid State Networks) C:\Users\Elke\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe
2013-06-12 23:02 - 2013-06-08 13:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 23:02 - 2013-06-08 13:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 22:58 - 2013-05-17 03:26 - 00042496 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 22:58 - 2013-05-17 03:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 22:58 - 2013-05-14 10:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-12 09:26 - 2013-05-13 06:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 09:26 - 2013-05-13 06:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 09:26 - 2013-05-13 06:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 09:26 - 2013-05-13 05:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 09:26 - 2013-05-13 05:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 09:26 - 2013-05-10 05:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 09:26 - 2013-04-26 06:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 09:26 - 2013-04-26 01:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-12 09:21 - 2013-05-08 07:38 - 01293672 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 09:21 - 2013-05-06 07:06 - 03968872 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-06-12 09:21 - 2013-05-06 07:06 - 03913576 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-06-12 09:21 - 2013-04-17 09:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll

==================== One Month Modified Files and Folders =======

2013-07-10 22:23 - 2012-07-04 19:21 - 00000000 ___SD C:\Users\Elke\Google Drive
2013-07-10 22:23 - 2012-07-04 19:16 - 00001102 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-10 22:22 - 2013-07-10 21:24 - 00000437 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-10 22:22 - 2009-07-14 06:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-10 22:22 - 2009-07-14 06:39 - 00195087 ____A C:\Windows\setupact.log
2013-07-10 22:21 - 2011-04-13 11:23 - 01869110 ____A C:\Windows\WindowsUpdate.log
2013-07-10 22:21 - 2009-07-14 06:34 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-10 22:21 - 2009-07-14 06:34 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-10 22:20 - 2013-07-10 22:20 - 00001197 ____A C:\Users\Dirk-Admin\Desktop\JRT.txt
2013-07-10 22:17 - 2013-07-10 22:17 - 00000000 ____D C:\Windows\ERUNT
2013-07-10 22:13 - 2009-07-14 06:53 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-10 22:10 - 2013-07-10 22:10 - 00014946 ____A C:\AdwCleaner[S1].txt
2013-07-10 22:08 - 2011-04-14 21:02 - 00018982 ____A C:\Windows\PFRO.log
2013-07-10 22:05 - 2012-04-03 21:06 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-10 22:03 - 2013-07-10 22:09 - 00650027 ____A C:\Users\Elke\Desktop\adwcleaner.exe
2013-07-10 22:03 - 2013-07-10 22:09 - 00552874 ____A (Oleg N. Scherbakov) C:\Users\Elke\Desktop\JRT.exe
2013-07-10 22:02 - 2013-07-10 22:02 - 00014450 ____A C:\ComboFix.txt
2013-07-10 22:02 - 2013-07-10 19:23 - 00000000 ___AD C:\Qoobox
2013-07-10 22:00 - 2009-07-14 04:04 - 00000215 ____A C:\Windows\system.ini
2013-07-10 21:51 - 2012-07-04 19:16 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-10 21:48 - 2013-07-10 21:48 - 00084782 ____A C:\Users\Elke\Desktop\137981-befall-trojan-spy-win32-zbot-mzqa-laut-disinfec-t-2013-a.html
2013-07-10 21:42 - 2013-07-10 21:42 - 05087643 ____R (Swearware) C:\Users\Elke\Desktop\ComboFix.exe
2013-07-10 20:18 - 2011-04-13 11:38 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-10 20:17 - 2013-07-10 20:16 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Roaming\Mozilla
2013-07-10 20:16 - 2013-07-10 20:16 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Local\Mozilla
2013-07-10 19:40 - 2009-07-14 04:37 - 00000000 __RHD C:\users\Default
2013-07-10 19:40 - 2009-07-14 04:37 - 00000000 ___RD C:\users\Public
2013-07-10 19:39 - 2013-07-10 19:22 - 00000000 ____D C:\Windows\erdnt
2013-07-10 19:36 - 2011-04-13 11:36 - 00000000 ____D C:\users\Elke
2013-07-10 19:22 - 2011-04-13 14:06 - 00000000 ____D C:\users\Dirk-Admin
2013-07-10 06:11 - 2013-07-10 06:11 - 00015686 ____A C:\Users\Elke\Desktop\Addition.txt
2013-07-09 22:24 - 2012-12-04 21:37 - 00001048 ____A C:\Users\Public\Desktop\TeamViewer 8.lnk
2013-07-09 22:16 - 2013-07-09 22:16 - 00000000 ____D C:\FRST
2013-07-09 22:15 - 2013-07-09 22:15 - 01216688 ____A (Farbar) C:\Users\Elke\Desktop\FRST.exe
2013-07-09 20:24 - 2013-07-09 20:24 - 01184022 ____A C:\Users\Elke\Desktop\gmer.log
2013-07-09 18:25 - 2013-07-09 18:25 - 00069916 ____A C:\Users\Elke\Desktop\Extras.Txt
2013-07-09 18:23 - 2013-07-09 18:23 - 00040898 ____A C:\Users\Elke\Desktop\OTL.Txt
2013-07-09 18:09 - 2013-07-09 18:09 - 00000482 ____A C:\Users\Elke\Desktop\defogger_disable.log
2013-07-09 18:09 - 2013-07-09 18:09 - 00000000 ____A C:\Users\Dirk-Admin\defogger_reenable
2013-07-09 18:00 - 2013-07-09 18:08 - 00602112 ____A (OldTimer Tools) C:\Users\Elke\Desktop\OTL.exe
2013-07-09 18:00 - 2013-07-09 18:08 - 00377856 ____A C:\Users\Elke\Desktop\gmer_2.1.19163.exe
2013-07-09 17:59 - 2013-07-09 18:08 - 00050477 ____A C:\Users\Elke\Desktop\Defogger.exe
2013-07-02 10:39 - 2011-04-15 12:55 - 00000000 ____D C:\Users\Public\Documents\MAGIX_Video_deluxe_15_Premium
2013-07-02 10:23 - 2012-07-04 19:43 - 00000000 ____D C:\Users\Elke\AppData\Roaming\vlc
2013-07-02 10:21 - 2011-04-27 06:28 - 00000000 ____D C:\Users\Elke\Documents\MAGIX_MusicEditor
2013-07-02 10:12 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\NDF
2013-06-24 19:42 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Libraries
2013-06-18 11:42 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-06-16 21:18 - 2013-06-16 21:18 - 01034464 ____A (Solid State Networks) C:\Users\Elke\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe
2013-06-14 06:31 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-06-13 14:48 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-06-12 23:05 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-06-12 22:59 - 2011-04-13 14:20 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-12 21:40 - 2009-07-14 06:52 - 00000000 ____D C:\Windows\System32\FxsTmp
2013-06-12 16:06 - 2012-04-03 21:06 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-12 16:06 - 2011-05-13 21:20 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-03 07:53

==================== End Of Log ============================
--- --- ---


ok, erstmal wieder durch, und wiederholt gespannt...

VG, und natürlich einen schönen Abend!
Dirk

schrauber 11.07.2013 07:38

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST Log bitte. Noch Probleme?

SolarPlexus 11.07.2013 20:24
Guten Abend,
ESET ist nn durch und fand 3 sachen (wobei einer wohl eh scho aus dem Verkehr war).
Log:
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=a712756f3977944f89a14edcb0cdf0c9
# engine=14355
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-11 04:32:52
# local_time=2013-07-11 06:32:52 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 49761070 125191563 0 0
# scanned=219345
# found=3
# cleaned=3
# scan_time=4069
sh=797EB7B3D71B2B24550B941AEA4A1FB9427A7F83 ft=1 fh=c47ed80e91bd940b vn="a variant of Win32/Kryptik.BEZB trojan (cleaned by deleting - quarantined)" ac=C fn="C:\Qoobox\Quarantine\C\Users\Elke\AppData\Roaming\Ihigwe\aveme.exe.VIRUS.vir"
sh=FC179659B7078C7067C554A32F1BB4A1D45D8A3B ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.OSS trojan (cleaned by deleting - quarantined)" ac=C fn="C:\Users\Elke\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\3a69d1e8-4d858b5c"
sh=FC179659B7078C7067C554A32F1BB4A1D45D8A3B ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.OSS trojan (cleaned by deleting - quarantined)" ac=C fn="C:\Users\Elke\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\3a69d1e8-72705e4c"
Securetychecklog:
Code:
Results of screen317's Security Check version 0.99.68 
 Windows 7 Service Pack 1 x86 (UAC is enabled) 
 Internet Explorer 10 
``````````````Antivirus/Firewall Check:``````````````
Microsoft Security Essentials 
 Antivirus up to date! 
`````````Anti-malware/Other Utilities Check:`````````
 Java(TM) 6 Update 24 
 Java version out of Date!
 Adobe Flash Player        11.7.700.224 
 Adobe Reader 10.1.7 Adobe Reader out of Date! 
 Mozilla Firefox 15.0 Firefox out of Date! 
````````Process Check: objlist.exe by Laurent```````` 
 Microsoft Security Essentials MSMpEng.exe
 Microsoft Security Essentials msseces.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````
Und ein neues FRST-Log (das tool bemängelte die Aktualität, doch beim versuch es zu aktualisieren kam ich nicht auf eine Downloadseite, sondern nur auf BleepingComputer.com -_- also mit der vorliegenden Version gescannt):

FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-07-2013 01
Ran by Dirk-Admin (administrator) on 11-07-2013 21:21:21
Running from C:\Users\Elke\Desktop
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
() C:\Program Files\AAVUpdateManager\aavus.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe
(TomTom) C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
(Conexant Systems, Inc.) C:\Windows\system32\DRIVERS\xaudio.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version8\TeamViewer.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Intel Corporation) C:\Windows\system32\igfxsrvc.exe
() C:\Windows\vsnpstd3.exe
(Microsoft Corporation) C:\Program Files\Microsoft IntelliPoint\ipoint.exe
(Hewlett-Packard) C:\Program Files\HP\HP Software Update\hpwuschd2.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Citrix Systems, Inc.) C:\Users\Elke\AppData\Local\Citrix\ICA Client\concentr.exe
(TomTom) C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
(Google) C:\Program Files\Google\Drive\googledrivesync.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
(TeamViewer GmbH) C:\Program Files\TeamViewer\Version8\tv_w32.exe
(Citrix Systems, Inc.) C:\Users\Elke\AppData\Local\Citrix\ICA Client\wfcrun32.exe
(Google) C:\Program Files\Google\Drive\googledrivesync.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
(Hewlett-Packard) C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
(Just Develop It) C:\Program Files\MyPC Backup\BackupStack.exe
(MAGIX AG) C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(Prog-Soft s.r.o.) d:\Program Files\PSPad editor\PSPad.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MpCmdRun.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IgfxTray] - C:\Windows\system32\igfxtray.exe [141848 2009-09-23] (Intel Corporation)
HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [173592 2009-09-23] (Intel Corporation)
HKLM\...\Run: [Persistence] - C:\Windows\system32\igfxpers.exe [150552 2009-09-23] (Intel Corporation)
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [snpstd3] - C:\Windows\vsnpstd3.exe [827392 2006-09-19] ()
HKLM\...\Run: [TrayServer] - C:\Program Files\MAGIX\Video_deluxe_17_Plus_Sonderedition\TrayServer.exe [90112 2008-08-07] (MAGIX AG)
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [IntelliPoint] - "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [1821576 2011-08-01] (Microsoft Corporation)
HKLM\...\Run: [HP Software Update] - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [49208 2011-05-10] (Hewlett-Packard)
HKLM\...\Run: [MSC] - "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey [947152 2013-01-27] (Microsoft Corporation)
HKLM\...\Runonce: [*WerKernelReporting] - %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [x]
HKLM\...\RunOnce: [InnoSetupRegFile.0000000001] - "C:\Windows\is-5FM8E.exe" /REG [1556992 2012-05-24] ()
HKLM\...\Runonce: [GrpConv] - grpconv.exe -o [x]
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, [x]
HKCU\...\Run: [TomTomHOME.exe] - "D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe" [247768 2012-08-28] (TomTom)
HKCU\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized [18705664 2013-01-08] (Skype Technologies S.A.)
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
Startup: C:\ProgramData\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
Startup: C:\Users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk
ShortcutTarget: MyPC Backup.lnk -> C:\Program Files\MyPC Backup\MyPC Backup.exe (MyPCBackup.com)
Startup: C:\Users\Dirk-Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\simplicheck.lnk
ShortcutTarget: simplicheck.lnk -> C:\Program Files\simplitec\simplicheck\simplicheck.exe (No File)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
BHO: Skype Plug-In - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Dirk-Admin\AppData\Roaming\Mozilla\Firefox\Profiles\y6qs53c7.default
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.0.1 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: amazon.com/AmazonMP3DownloaderPlugin - C:\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin.dll (Amazon.com, Inc.)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: Default - C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

========================== Services (Whitelisted) =================

R2 AAV UpdateService; C:\Program Files\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
R2 BackupStack; C:\Program Files\MyPC Backup\BackupStack.exe [32808 2013-05-25] (Just Develop It)
R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128 2011-05-24] (MAGIX AG)
S3 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)
S3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation)
S3 UPnPService; C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [544768 2006-12-14] (Magix AG)

==================== Drivers (Whitelisted) ====================

R2 acedrv10; C:\Windows\system32\drivers\acedrv10.sys [330144 2007-07-27] (Protect Software GmbH)
R2 acehlp10; C:\Windows\system32\drivers\acehlp10.sys [251680 2007-07-27] (Protect Software GmbH)
R3 EMSCR; C:\Windows\System32\DRIVERS\EMS7SK.sys [61056 2006-06-16] (ENE Technology Inc.)
R3 ESDCR; C:\Windows\System32\DRIVERS\ESD7SK.sys [40064 2006-06-16] (ENE Technology Inc.)
R3 ESMCR; C:\Windows\System32\DRIVERS\ESM7SK.sys [74752 2006-06-16] (ENE Technology Inc.)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
S3 SNPSTD3; C:\Windows\System32\DRIVERS\snpstd3.sys [10252544 2007-03-27] (Sonix Co. Ltd.)
S3 catchme; \??\C:\Users\DIRK-A~1\AppData\Local\Temp\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-11 17:23 - 2013-07-11 17:23 - 00890988 ____A C:\Users\Elke\Desktop\SecurityCheck.exe
2013-07-11 17:20 - 2013-07-11 17:20 - 00000000 ____D C:\Program Files\ESET
2013-07-10 22:20 - 2013-07-10 22:20 - 00001197 ____A C:\Users\Dirk-Admin\Desktop\JRT.txt
2013-07-10 22:17 - 2013-07-10 22:17 - 00000000 ____D C:\Windows\ERUNT
2013-07-10 22:10 - 2013-07-10 22:10 - 00014946 ____A C:\AdwCleaner[S1].txt
2013-07-10 22:09 - 2013-07-10 22:03 - 00650027 ____A C:\Users\Elke\Desktop\adwcleaner.exe
2013-07-10 22:09 - 2013-07-10 22:03 - 00552874 ____A (Oleg N. Scherbakov) C:\Users\Elke\Desktop\JRT.exe
2013-07-10 22:02 - 2013-07-10 22:02 - 00014450 ____A C:\ComboFix.txt
2013-07-10 21:48 - 2013-07-10 21:48 - 00084782 ____A C:\Users\Elke\Desktop\137981-befall-trojan-spy-win32-zbot-mzqa-laut-disinfec-t-2013-a.html
2013-07-10 21:42 - 2013-07-10 21:42 - 05087643 ____R (Swearware) C:\Users\Elke\Desktop\ComboFix.exe
2013-07-10 21:24 - 2013-07-11 21:18 - 00000437 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-10 20:16 - 2013-07-10 20:17 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Roaming\Mozilla
2013-07-10 20:16 - 2013-07-10 20:16 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Local\Mozilla
2013-07-10 19:23 - 2013-07-10 22:02 - 00000000 ___AD C:\Qoobox
2013-07-10 19:23 - 2011-06-26 08:45 - 00256000 ____A C:\Windows\PEV.exe
2013-07-10 19:23 - 2010-11-07 19:20 - 00208896 ____A C:\Windows\MBR.exe
2013-07-10 19:23 - 2009-04-20 06:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00098816 ____A C:\Windows\sed.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00080412 ____A C:\Windows\grep.exe
2013-07-10 19:23 - 2000-08-31 02:00 - 00068096 ____A C:\Windows\zip.exe
2013-07-10 19:22 - 2013-07-10 19:39 - 00000000 ____D C:\Windows\erdnt
2013-07-10 06:11 - 2013-07-10 06:11 - 00015686 ____A C:\Users\Elke\Desktop\Addition.txt
2013-07-09 22:16 - 2013-07-09 22:16 - 00000000 ____D C:\FRST
2013-07-09 22:15 - 2013-07-09 22:15 - 01216688 ____A (Farbar) C:\Users\Elke\Desktop\FRST.exe
2013-07-09 20:24 - 2013-07-09 20:24 - 01184022 ____A C:\Users\Elke\Desktop\gmer.log
2013-07-09 18:25 - 2013-07-09 18:25 - 00069916 ____A C:\Users\Elke\Desktop\Extras.Txt
2013-07-09 18:23 - 2013-07-09 18:23 - 00040898 ____A C:\Users\Elke\Desktop\OTL.Txt
2013-07-09 18:09 - 2013-07-09 18:09 - 00000482 ____A C:\Users\Elke\Desktop\defogger_disable.log
2013-07-09 18:09 - 2013-07-09 18:09 - 00000000 ____A C:\Users\Dirk-Admin\defogger_reenable
2013-07-09 18:08 - 2013-07-09 18:00 - 00602112 ____A (OldTimer Tools) C:\Users\Elke\Desktop\OTL.exe
2013-07-09 18:08 - 2013-07-09 18:00 - 00377856 ____A C:\Users\Elke\Desktop\gmer_2.1.19163.exe
2013-07-09 18:08 - 2013-07-09 17:59 - 00050477 ____A C:\Users\Elke\Desktop\Defogger.exe
2013-06-16 21:18 - 2013-06-16 21:18 - 01034464 ____A (Solid State Networks) C:\Users\Elke\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe
2013-06-12 23:02 - 2013-06-08 13:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 23:02 - 2013-06-08 13:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 23:02 - 2013-06-08 13:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 22:58 - 2013-05-17 03:26 - 00042496 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 22:58 - 2013-05-17 03:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 22:58 - 2013-05-17 03:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 22:58 - 2013-05-14 10:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-12 09:26 - 2013-05-13 06:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 09:26 - 2013-05-13 06:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 09:26 - 2013-05-13 06:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 09:26 - 2013-05-13 05:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 09:26 - 2013-05-13 05:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 09:26 - 2013-05-10 05:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 09:26 - 2013-04-26 06:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 09:26 - 2013-04-26 01:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-12 09:21 - 2013-05-08 07:38 - 01293672 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 09:21 - 2013-05-06 07:06 - 03968872 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-06-12 09:21 - 2013-05-06 07:06 - 03913576 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-06-12 09:21 - 2013-04-17 09:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll

==================== One Month Modified Files and Folders =======

2013-07-11 21:18 - 2013-07-10 21:24 - 00000437 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-11 21:14 - 2011-04-13 11:23 - 02024546 ____A C:\Windows\WindowsUpdate.log
2013-07-11 21:05 - 2012-04-03 21:06 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-11 20:51 - 2012-07-04 19:16 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-11 17:23 - 2013-07-11 17:23 - 00890988 ____A C:\Users\Elke\Desktop\SecurityCheck.exe
2013-07-11 17:20 - 2013-07-11 17:20 - 00000000 ____D C:\Program Files\ESET
2013-07-11 17:18 - 2012-07-04 19:16 - 00001102 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-10 22:30 - 2009-07-14 06:34 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-10 22:30 - 2009-07-14 06:34 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-10 22:23 - 2012-07-04 19:21 - 00000000 ___SD C:\Users\Elke\Google Drive
2013-07-10 22:22 - 2009-07-14 06:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-10 22:22 - 2009-07-14 06:39 - 00195087 ____A C:\Windows\setupact.log
2013-07-10 22:20 - 2013-07-10 22:20 - 00001197 ____A C:\Users\Dirk-Admin\Desktop\JRT.txt
2013-07-10 22:17 - 2013-07-10 22:17 - 00000000 ____D C:\Windows\ERUNT
2013-07-10 22:13 - 2009-07-14 06:53 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-10 22:10 - 2013-07-10 22:10 - 00014946 ____A C:\AdwCleaner[S1].txt
2013-07-10 22:08 - 2011-04-14 21:02 - 00018982 ____A C:\Windows\PFRO.log
2013-07-10 22:03 - 2013-07-10 22:09 - 00650027 ____A C:\Users\Elke\Desktop\adwcleaner.exe
2013-07-10 22:03 - 2013-07-10 22:09 - 00552874 ____A (Oleg N. Scherbakov) C:\Users\Elke\Desktop\JRT.exe
2013-07-10 22:02 - 2013-07-10 22:02 - 00014450 ____A C:\ComboFix.txt
2013-07-10 22:02 - 2013-07-10 19:23 - 00000000 ___AD C:\Qoobox
2013-07-10 22:00 - 2009-07-14 04:04 - 00000215 ____A C:\Windows\system.ini
2013-07-10 21:48 - 2013-07-10 21:48 - 00084782 ____A C:\Users\Elke\Desktop\137981-befall-trojan-spy-win32-zbot-mzqa-laut-disinfec-t-2013-a.html
2013-07-10 21:42 - 2013-07-10 21:42 - 05087643 ____R (Swearware) C:\Users\Elke\Desktop\ComboFix.exe
2013-07-10 20:18 - 2011-04-13 11:38 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-10 20:17 - 2013-07-10 20:16 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Roaming\Mozilla
2013-07-10 20:16 - 2013-07-10 20:16 - 00000000 ____D C:\Users\Dirk-Admin\AppData\Local\Mozilla
2013-07-10 19:40 - 2009-07-14 04:37 - 00000000 __RHD C:\users\Default
2013-07-10 19:40 - 2009-07-14 04:37 - 00000000 ___RD C:\users\Public
2013-07-10 19:39 - 2013-07-10 19:22 - 00000000 ____D C:\Windows\erdnt
2013-07-10 19:36 - 2011-04-13 11:36 - 00000000 ____D C:\users\Elke
2013-07-10 19:22 - 2011-04-13 14:06 - 00000000 ____D C:\users\Dirk-Admin
2013-07-10 06:11 - 2013-07-10 06:11 - 00015686 ____A C:\Users\Elke\Desktop\Addition.txt
2013-07-09 22:24 - 2012-12-04 21:37 - 00001048 ____A C:\Users\Public\Desktop\TeamViewer 8.lnk
2013-07-09 22:16 - 2013-07-09 22:16 - 00000000 ____D C:\FRST
2013-07-09 22:15 - 2013-07-09 22:15 - 01216688 ____A (Farbar) C:\Users\Elke\Desktop\FRST.exe
2013-07-09 20:24 - 2013-07-09 20:24 - 01184022 ____A C:\Users\Elke\Desktop\gmer.log
2013-07-09 18:25 - 2013-07-09 18:25 - 00069916 ____A C:\Users\Elke\Desktop\Extras.Txt
2013-07-09 18:23 - 2013-07-09 18:23 - 00040898 ____A C:\Users\Elke\Desktop\OTL.Txt
2013-07-09 18:09 - 2013-07-09 18:09 - 00000482 ____A C:\Users\Elke\Desktop\defogger_disable.log
2013-07-09 18:09 - 2013-07-09 18:09 - 00000000 ____A C:\Users\Dirk-Admin\defogger_reenable
2013-07-09 18:00 - 2013-07-09 18:08 - 00602112 ____A (OldTimer Tools) C:\Users\Elke\Desktop\OTL.exe
2013-07-09 18:00 - 2013-07-09 18:08 - 00377856 ____A C:\Users\Elke\Desktop\gmer_2.1.19163.exe
2013-07-09 17:59 - 2013-07-09 18:08 - 00050477 ____A C:\Users\Elke\Desktop\Defogger.exe
2013-07-02 10:39 - 2011-04-15 12:55 - 00000000 ____D C:\Users\Public\Documents\MAGIX_Video_deluxe_15_Premium
2013-07-02 10:23 - 2012-07-04 19:43 - 00000000 ____D C:\Users\Elke\AppData\Roaming\vlc
2013-07-02 10:21 - 2011-04-27 06:28 - 00000000 ____D C:\Users\Elke\Documents\MAGIX_MusicEditor
2013-07-02 10:12 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\NDF
2013-06-24 19:42 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Libraries
2013-06-18 11:42 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-06-16 21:18 - 2013-06-16 21:18 - 01034464 ____A (Solid State Networks) C:\Users\Elke\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe
2013-06-14 06:31 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-06-13 14:48 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-06-12 23:05 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-06-12 22:59 - 2011-04-13 14:20 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-12 21:40 - 2009-07-14 06:52 - 00000000 ____D C:\Windows\System32\FxsTmp
2013-06-12 16:06 - 2012-04-03 21:06 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-12 16:06 - 2011-05-13 21:20 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-03 07:53

==================== End Of Log ============================
--- --- ---

--- --- ---

Edit: Probleme waren vorher nicht sichtbar, und snd es jetzt auch nicht. Die zwischendurch aufgetretenen Performance-Probleme scheinen besser zu sein. Ich würde nun normalerweiseAlles Updaten was zu updaten geht, Java ganz rausschmeissen,Unnötiges löschen, und einen neuen Virenscanner installieren mit etwas mehr Boden" als der Essentials. Aber nach den Javafounds bin ich mir noch unsicher und gespannt auf die Analyse...

Schönen abend und auf bald..
Dirk

schrauber 12.07.2013 09:42
Das ist nur im Cache, den leeren wir jetzt.

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Mach deine Updates und Co, wir sind fertig :)

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

SolarPlexus 13.07.2013 14:30
Hallo Schrauber,

vielen Dank, es sieht alles sehr gut aus. Du kannst den Thread nun von deiner Liste nehmen.

PS: die meisten Ratschläge wurden nun umgesetzt :D

PPS: Der nächste Rechner steht schon an, zumindest für einen Check, doch dazu melde ich mich später einmal extra ...

Vielen Dank, und ein schönes Wochenende !!!
Dirk

PPPS: der Dank meiner Mom wird Dir auf ewig hinterherschleichen :D

schrauber 13.07.2013 15:22
Gern Geschehen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20