TR/Crypt.EPACK.Gen2 und EXP/JAVA.Ternewb.Gen
 

Zur Sachlage:
Bei einem Systemdurchlauf mit Avira Antivir free kam es zu insgesamt 6 "Funde".
Dabei wurden die 2 o.g. Dateien auf Quarantäne gestellt.

Mich wundert es, dass das passieren konnte, denn nach jedem Systemstart aktiviere ich erstmal Avira Antivir und mache ggf. ein Update, ferner läuft Avira Antivir free immer als Echtzeit-Scanner... Und Java-Updates habe ich auch stets durchgeführt...

Jetzt sitze ich hier am Zweit-PC und schreibe dieses Thread, während im Hintergrund von diesem PC ironischerweise sich Java mit der Frage meldet, ob Veränderungen an der Festplatte durch Java erlaubt seien... :(


Nun habe ich 3 Fragen:
1. Soll ich die Anfrage von Java zulassen?
2. Wie schwerwiegend ist der TR/Crypt.EPACK.Gen2? Sind alle Daten im Rechner infiziert, oder ist eine Sicherungskopie auf externe Festplatte noch möglich?
3. Kann ich für das vorliegende Problem alle Schritte aus "Erste Hilfe zur Hilfe!" folgen, oder ist eine andere Reihenfolge bzw. sind andere Tools zu verwenden?


Danke im Voraus,
Grüße,
grasp


P.S.: Dieses Thema hatte ich ursprünglich in der Rubrik "Plagegeister" inseriert, merkte aber meinen Fehler und bewegte den Inhalt hierher. Nur das Thema bei "Plagegeister" entfernen gelang mir nicht...

hi,

Bitte das Logfile von Antivir posten.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hier das Logfile von Avira



Und hier die defogger_disable:


Hier die FRST.txt:


FRST Logfile:
[CODE]Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 16-02-2014
Ran by Gaspar (administrator) on ADMIN-B7BC655BD on 19-02-2014 09:51:04
Running from C:\Dokumente und Einstellungen\Gaspar\Desktop
Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 6
Boot Mode: Normal


==================== Processes (Whitelisted) =================

(Lenovo) C:\WINDOWS\system32\ibmpmsvc.exe
(GAS Tecnologia) C:\Programme\GbPlugin\gbpsv.exe
(Broadcom Corporation.) C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe
(SUPERAntiSpyware.com) C:\Programme\SUPERAntiSpyware\SASCORE.EXE
(Lenovo ) C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe
(Oracle Corporation) C:\Programme\Java\jre7\bin\jqs.exe
(Malwarebytes Corporation) C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
(Microsoft Corporation) C:\Programme\Microsoft LifeCam\MSCamS32.exe
() C:\Programme\CDBurnerXP\NMSAccessU.exe
(Lenovo ) C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
(Intel Corporation) C:\WINDOWS\system32\igfxtray.exe
(Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
(Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
(IBM Corporation) C:\WINDOWS\system32\tp4mon.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
(Oracle Corporation) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Lenovo ) C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
() C:\Dokumente und Einstellungen\Gaspar\Desktop\Defogger.exe
(Avira Operations GmbH & Co. KG) c:\programme\avira\antivir desktop\avcenter.exe
(ClickMeIn Limited) C:\Programme\VuuPC\Connectivity.exe
(ClickMeIn Limited) C:\Programme\VuuPC\remoteengine.exe
(ClickMeIn Limited) C:\Programme\VuuPC\RemoteEngineHelper.exe
(ClickMeIn Limited) C:\Programme\VuuPC\RemoteEngineHelper.exe
(Google Inc.) C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
(Google Inc.) C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [igfxpers] - C:\WINDOWS\system32\igfxpers.exe [118784 2006-06-30] (Intel Corporation)
HKLM\...\Run: [igfxhkcmd] - C:\WINDOWS\system32\hkcmd.exe [77824 2006-06-30] (Intel Corporation)
HKLM\...\Run: [TrackPointSrv] - C:\WINDOWS\system32\tp4mon.exe [82944 2008-04-14] (IBM Corporation)
HKLM\...\Run: [Adobe ARM] - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - C:\Programme\Avira\AntiVir Desktop\avgnt.exe [684600 2014-02-19] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
Winlogon\Notify\ GbPluginBb: C:\Programme\GbPlugin\gbieh.dll (Banco do Brasil)
Winlogon\Notify\!SASWinLogon: C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
Winlogon\Notify\ACNotify: C:\Programme\ThinkPad\ConnectUtilities\ACNotify.dll (Lenovo )
Winlogon\Notify\psfus: C:\Programme\ThinkVantage Fingerprint Software\psqlpwd.dll (UPEK Inc.)
HKU\.DEFAULT\...\Run: [DWQueuedReporting] - C:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE [437160 2007-02-26] (Microsoft Corporation)
HKU\S-1-5-21-1644491937-725345543-1606980848-1004\...\Run: [Google Update] - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [136176 2010-08-06] (Google Inc.)
HKU\S-1-5-21-1644491937-725345543-1606980848-1004\...\Policies\Explorer: [NoDriveAutoRun] 0x90010000
HKU\S-1-5-21-1644491937-725345543-1606980848-1004\...\MountPoints2: {18510044-0518-11e3-8aed-000e9bdcd09e} - E:\XSManagerinstallation.exe
HKU\S-1-5-21-1644491937-725345543-1606980848-1004\...\MountPoints2: {44c56f68-a655-11df-83ae-000e9bdcd09e} - E:\AutoRun.exe
Lsa: [Notification Packages] scecli C:\Programme\ThinkVantage Fingerprint Software\psqlpwd.dll ACGina

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Skype Browser Helper - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: GbIehObj Class - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Programme\GbPlugin\gbieh.dll (Banco do Brasil)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKCU - &Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
Toolbar: HKCU - &Links - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\system32\SHELL32.dll (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
ShellExecuteHooks: GbPluginObj Class - {E37CB5F0-51F5-4395-A808-5FA49E399F83} - C:\Programme\GbPlugin\gbieh.dll [1410088 2013-07-15] (Banco do Brasil)
ShellExecuteHooks: SABShellExecuteHook Class - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL [113024 2011-07-19] (SuperAdBlocker.com)
Winsock: Catalog9 01 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 09 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 192.168.0.2

Chrome:
=======
CHR HomePage:
CHR Plugin: (Shockwave Flash) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\32.0.1700.107\PepperFlash\pepflashplayer.dll ()
CHR Plugin: (Chrome Remote Desktop Viewer) - internal-remoting-viewer
CHR Plugin: (Native Client) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\32.0.1700.107\ppGoogleNaClPluginChrome.dll ()
CHR Plugin: (Chrome PDF Viewer) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\32.0.1700.107\pdf.dll ()
CHR Plugin: (Google Talk Plugin) - C:\Dokumente und Einstellungen\Gaspar\Anwendungsdaten\Mozilla\plugins\npgoogletalk.dll (Google)
CHR Plugin: (Google Talk Plugin Video Accelerator) - C:\Dokumente und Einstellungen\Gaspar\Anwendungsdaten\Mozilla\plugins\npgtpo3dautoplugin.dll ()
CHR Plugin: (Adobe Acrobat) - C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll (Adobe Systems Inc.)
CHR Plugin: (Microsoft® Windows Media Player Firefox Plugin) - C:\Programme\Mozilla Firefox\plugins\np-mswmp.dll (Microsoft Corporation)
CHR Plugin: (Microsoft Office 2003) - C:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL (Microsoft Corporation)
CHR Plugin: (Microsoft® DRM) - C:\Programme\Windows Media Player\npdrmv2.dll (Microsoft Corporation)
CHR Plugin: (Microsoft® DRM) - C:\Programme\Windows Media Player\npwmsdrm.dll (Microsoft Corporation)
CHR Plugin: (Google Update) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll No File
CHR Plugin: (Java(TM) Platform SE 7 U9) - C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
CHR Plugin: (Microsoft Office Live Plug-in for Firefox) - C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
CHR Plugin: (Java Deployment Toolkit 7.0.90.5) - C:\WINDOWS\system32\npDeployJava1.dll No File
CHR Plugin: (Windows Presentation Foundation) - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
CHR Extension: (Google Drive) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2012-11-27]
CHR Extension: (YouTube) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2012-11-27]
CHR Extension: (Google-Suche) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2012-11-27]
CHR Extension: (Google Wallet) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-09-09]
CHR Extension: (Google Mail) - C:\Dokumente und Einstellungen\Gaspar\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2012-11-27]

========================== Services (Whitelisted) =================

R2 !SASCORE; C:\Programme\SUPERAntiSpyware\SASCORE.EXE [116608 2011-08-12] (SUPERAntiSpyware.com)
R2 AcPrfMgrSvc; C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe [103784 2010-04-22] (Lenovo )
R2 AcSvc; C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe [243048 2010-04-22] (Lenovo )
R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440376 2014-02-19] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440376 2014-02-19] (Avira Operations GmbH & Co. KG)
S4 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1011768 2014-02-19] (Avira Operations GmbH & Co. KG)
R2 btwdins; C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe [264800 2007-11-26] (Broadcom Corporation.)
R2 GbpSv; C:\Programme\GbPlugin\gbpsv.exe [409640 2013-07-15] (GAS Tecnologia)
S3 IDriverT; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe [69632 2005-11-14] (Macrovision Corporation)
R2 JavaQuickStarterService; C:\Programme\Java\jre7\bin\jqs.exe [182696 2013-12-18] (Oracle Corporation)
R2 MBAMService; C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe [654408 2012-04-04] (Malwarebytes Corporation)
R2 MSCamSvc; C:\Programme\Microsoft LifeCam\MSCamS32.exe [139632 2010-05-20] (Microsoft Corporation)
R2 NMSAccess; C:\Programme\CDBurnerXP\NMSAccessU.exe [71096 2010-03-04] ()
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [89136 2003-07-28] (Microsoft Corporation)
R2 RemoteEngineService; C:\Programme\VuuPC\remoteengine.exe [2967568 2014-02-10] (ClickMeIn Limited)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [171680 2013-09-05] (Skype Technologies)
R2 VuuPCConnectivity; C:\Programme\VuuPC\Connectivity.exe [4747280 2014-02-10] (ClickMeIn Limited)

==================== Drivers (Whitelisted) ====================

R1 ANC; C:\WINDOWS\System32\drivers\ANC.SYS [11520 2005-09-28] (IBM Corp.)
R3 atmeltpm; C:\WINDOWS\System32\DRIVERS\atmeltpm.sys [15872 2005-05-17] (Atmel, Inc.)
R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-12] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-12] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-10-07] (Avira Operations GmbH & Co. KG)
R3 btaudio; C:\WINDOWS\System32\drivers\btaudio.sys [539512 2007-11-27] (Broadcom Corporation.)
R3 BTDriver; C:\WINDOWS\System32\DRIVERS\btport.sys [37424 2007-03-23] (Broadcom Corporation.)
R3 BTKRNL; C:\WINDOWS\System32\DRIVERS\btkrnl.sys [879624 2007-11-21] (Broadcom Corporation.)
R3 BTWDNDIS; C:\WINDOWS\System32\DRIVERS\btwdndis.sys [156392 2007-06-29] (Broadcom Corporation.)
R3 btwhid; C:\WINDOWS\System32\DRIVERS\btwhid.sys [55352 2007-03-31] (Broadcom Corporation.)
R3 btwmodem; C:\WINDOWS\System32\DRIVERS\btwmodem.sys [37280 2007-03-23] (Broadcom Corporation.)
R3 BTWUSB; C:\WINDOWS\System32\Drivers\btwusb.sys [74688 2007-11-27] (Broadcom Corporation.)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)
R0 GbpKm; C:\WINDOWS\System32\drivers\gbpkm.sys [49536 2013-05-08] (GAS Tecnologia)
R3 HSFHWICH; C:\WINDOWS\System32\DRIVERS\HSFHWICH.sys [247808 2006-08-28] (Conexant Systems, Inc.)
R3 HSF_DPV; C:\WINDOWS\System32\DRIVERS\HSF_DPV.sys [990592 2006-08-28] (Conexant Systems, Inc.)
R1 IBMTPCHK; C:\WINDOWS\system32\Drivers\IBMBLDID.sys [4224 2008-05-12] ()
R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [22344 2012-04-04] (Malwarebytes Corporation)
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)
R1 Ndisprot; C:\WINDOWS\System32\DRIVERS\ndisprot.sys [21504 2009-11-17] (Windows (R) 2000 DDK provider)
S3 Ndisrd; C:\WINDOWS\System32\DRIVERS\gbpndisrd.sys [31088 2014-02-19] (GbPlugin NDIS Device Driver)
R3 NdisrdMP; C:\WINDOWS\System32\DRIVERS\gbpndisrd.sys [31088 2014-02-19] (GbPlugin NDIS Device Driver)
R3 Rasirda; C:\WINDOWS\System32\DRIVERS\rasirda.sys [19584 2001-08-17] (Microsoft Corporation)
R1 SASDIFSV; C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS [12880 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R1 SASKUTIL; C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS [67664 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)
R2 smihlp; C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys [12560 2009-03-13] (UPEK Inc.)
R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-05] (Avira GmbH)
S3 StarOpen; C:\WINDOWS\system32\Drivers\StarOpen.sys [7168 2009-11-12] ()
R3 TwoTrack; C:\WINDOWS\System32\DRIVERS\TwoTrack.sys [11520 2001-08-17] (IBM Corporation)
R3 w29n51; C:\WINDOWS\System32\DRIVERS\w29n51.sys [2209408 2007-02-08] (Intel® Corporation)
S3 cmntnet; system32\DRIVERS\cmntnet.sys [X]
S3 cmnuusbser; system32\DRIVERS\cmnuusbser.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
U1 WS2IFSL;
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]

==================== NetSvcs (Whitelisted) ===================

[/QUOTE]



Noch vor Erhalt der Antwort hatte ich aus der verlinkten Anleitung "Erste Schritte zur Hilfe!" den Schritt 1 mit Defogger durchgeführt.
Hierzu folgende Frage:
- Soll ich bei Defogger "re-enable" anklicken?


Zu meinem Bedauern haben sich während meiner Bemühungen gruseligerweise weitere Probleme ergeben:
- Während des ersten Downloadversuches von Defogger bin ich über Filepony auf das Download von "VuuPC" fehlgeleitet worden, als ich den Fehltritt merkte waren 97% installiert. Eine der Dateien "Continue VuuPC installation" konnte ich in den Papierkorb verschieben. Die Setup-Datei aber nicht, denn beim Löschversuch erscheint ein Popup aus dem zu lesen ist, dass die Datei von einer anderen Person verwendet wird...
- Während der frst-Installation ist "AnyProtect" aufgetaucht, nun ist eine Verknüpfung auf "Continue AnyProtect installation" auf dem Desktop zu sehen. Der PC ist extreeem langsam geworden. Und ich habe mittlerweile noch größere Sorgen um meine Daten...
Dazu folgende Frage:
- Mit welchem Tool kann ich das angehen?


In der FRST.txt erkannte ich in der Auflistung der Prozesse folgenden Eintrag:
(GAS Tecnologia) C:\Programme\GbPlugin\gbpsv.exe
Diese .exe hat sich mal auf meinen Rechner installiert, als ich vor wenigen Jahren ein Konto im Ausland mit onlinebanking hatte. Im Oktober 2013 habe ich zwar hier über das TB probiert es weg zu löschen, damals fand sich keine Lösung.
Hierzu folgende Frage:
- Kann diese Software dazu beigetragen haben, dass mein PC aktuell dekompensiert? Ist mittlerweile ein Tool bzw. ein Fix dafür bekannt?


Vielen herzlichen Dank für die Untersützung,
grasp

Hallo schrauber,
und vielen Dank für die Hilfe

Mittlerweise sind mehr als 60 Minuten vergangen, sodass ich den Beitrag nicht vervollständigen bzw. editieren kann. Daher schreibe ich nochmal als Direktantwort, und hoffe auf Verständnis.

Hier die .txt allesamt als "Code", habe vorhin unbeabsichtigt als "Quote" eingetragen

Antivir Logfile:

defogger_disable

FRST.txt

FRST Logfile:
--- --- ---

--- --- ---



Addition.txt



Noch vor Erhalt Deiner Ersten Rückmeldung hatte ich aus der verlinkten Anleitung "Erste Schritte zur Hilfe!" den Schritt 1 mit Defogger durchgeführt.
Hierzu folgende Frage:
- Soll ich bei Defogger "re-enable" anklicken?


Zu meinem Bedauern haben sich während meiner Bemühungen gruseligerweise weitere Probleme ergeben:
- Während des ersten Downloadversuches von Defogger bin ich über Filepony auf das Download von "VuuPC" fehlgeleitet worden, als ich den Fehltritt merkte waren 97% installiert. Eine der Dateien "Continue VuuPC installation" konnte ich in den Papierkorb verschieben. Die Setup-Datei aber nicht, denn beim Löschversuch erscheint ein Popup aus dem zu lesen ist, dass die Datei von einer anderen Person verwendet wird...
- Während der frst-Installation ist "AnyProtect" aufgetaucht, nun ist eine Verknüpfung auf "Continue AnyProtect installation" auf dem Desktop zu sehen. Der PC ist extreeem langsam geworden. Und ich habe mittlerweile noch größere Sorgen um meine Daten...
Dazu folgende Frage:
- Mit welchem Tool kann ich das angehen?


In der FRST.txt erkannte ich in der Auflistung der Prozesse folgenden Eintrag:
(GAS Tecnologia) C:\Programme\GbPlugin\gbpsv.exe
Diese .exe hat sich mal auf meinen Rechner installiert, als ich vor wenigen Jahren ein Konto im Ausland mit onlinebanking hatte. Im Oktober 2013 habe ich zwar hier über das TB probiert es weg zu löschen, damals fand sich keine Lösung.
Hierzu folgende Frage:
- Kann diese Software dazu beigetragen haben, dass mein PC aktuell dekompensiert? Ist mittlerweile ein Tool bzw. ein Fix dafür bekannt?


Vielen herzlichen Dank für die Untersützung,
grasp

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo,

und vielen Dank für die weitere Hilfe!

Anbei das Logfile von Combofix als rar-Datei



P.S.: Habe nach dem Combofix-Durchlauf Chrome deinstalliert und Firefox installiert

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.




Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hi,
und danke weiterhin
Anbei der geteilte Log von Combofix:

hallo schrauber,

anbei die files

1. malwarebytes quick scan
und malwarebytes system scan
2. adwcleaner
3. junkware removal tool
4. frst neu

FRST Logfile:
--- --- ---



Danke weiterhin für die Hilfe und Unterstützung!

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo schrauber,

aus Dienstgründen konnte ich erst heute ESET und SecurityCheck sowie FRST anwenden.
Anbei die Logfiles


ESET:
SecurityCheckup:
FRST:

FRST Logfile:
--- --- ---


Addition:


Eine Frage habe ich noch:
Das System-Scan von Avira zeigt noch immer ein verstecktes Objekt mit dem Hinweis, dass dessen Regisitrierungseintrag nicht sichtbar ist, nämlich:

c:\windows\system32\tlntsvr.exe

Hast Du einen Tipp, ob bzw. was ich da tun soll?


Vielen herzlichen Dank für die Hilfe,
grasp

Das ist ne Datei von Microsoft. Alles gut. Adobe updaten.


Fertig :)

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Falls Du Lob oder Kritik abgeben möchtest kannst Du das hier tun :)

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo schrauber,

und vielen Dank für die Hilfe!

Wie aus den scans zu erkennen, hat der Rechner um ein xp-Betriebssystem.
Den möchte ich logischerweise vor Ende des Supports möglichst clean haben, da ich ab April die Kiste aus dem Netz nehmen und nur noch als Bürorechner benutzen werde.

Leider ist noch immer unter C:\Programme der Ordner GbPlugin mit 6 Dateien einschl. einer lästigen exe-Datei "gbpsv.exe" vorhanden, der Prozess wird immer beim Start des REchners aktiv und nimmt Rechenleistung des bereits nicht so leistungsstarken Maschine in Anspruch.
Weder die exe-Datei noch der Ordner GbPlugin lassen sich nicht entfernen...

Darüber postete ich Ende 2013 in der Rubrik "Plagegeister", und zwar in folgendem Thread:
"GAS Tecnologia Filter Driver" : wie entferne ich das?

Dazu fand ich aktuell folgende 2 Seiten im Netz, aus denen ich aber selbst nicht schlau werde:
hxxp://www.file.net/prozess/gbpsv.exe.html
und
hxxp://greatis.com/blog/how-to-remove-malware/gbpsv-exe-trojan-spy-banker.htm

Weißt Du vielleicht, wie ich das Problem, also dieses Plugin, beseitigen kann?

Vielen Dank,
grasp

Poste bitte nochmal ein FRST log, ich schaue dann :)

Hallo schrauber,

und vielen Dank für die Hilfe!

Anbei FRST-Log


FRST Logfile:
--- --- ---


Anbei die Addition-Datei

Im Voraus für die Untersützung dankend,
grasp

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.