Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ukash-Trojaner (https://www.trojaner-board.de/138943-ukash-trojaner.html)

need.help 28.07.2013 22:23
Ukash-Trojaner
 
Hallo,

Ich vermute, mir einen Ukash-Trojaner eingefangen zu haben und schildere im folgenden mein Problem.

Habe heute beim Surfen eine Meldung bekommen, dass mein Computer aus verschiedenen Gründen gesperrt wurde. Diese Seite war mit dem Logo des Bundesministerium für Sicherheit in der Informationstechnik gebrandet sowie dem Logo der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen. Zur Vorstellung, wie dies ungefähr ausgesehen hat, hier ein Link zu einem Screenshot (gepostet von einem anderen Forenmitglied):
http://www.trojaner-board.de/attachm...aner-ukash.jpg
Die Seite ließ sich nicht schließen, minimieren oder sonst noch irgendwie bearbeiten und über den Task Manager konnte ich auch nichts mehr machen, somit half nur noch ein Neustart. Mir war natürlich klar, dass diese Seite zu den hinlänglich bekannten Maschen wie z.B. Bundestrojaner gehörte, möchte nun jedoch die Schadsoftware, die hinterlassen wurde, von meinem PC beseitigen.

Somit möchte ich euch bitten, mir bei der Bereinigung zu helfen!
In diesem Zusammenhang würde ich natürlich auch weitere unerwünschte Schadprogramme identifizieren und killen.

Vielen Dank vorab!

schrauber 29.07.2013 07:02
HI,

welches Betriebssystem?

need.help 29.07.2013 10:31
Win 7 - 32 bit.

Danke + Gruß

schrauber 29.07.2013 14:54
hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).


need.help 29.07.2013 22:44
FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-07-2013 01
Ran by SYSTEM on 29-07-2013 21:29:30
Running from G:\
Windows 7 Professional Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvSvc] - RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart [x]
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [x]
HKLM\...\Run: [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [x]
HKLM\...\Run: [GrooveMonitor] - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-26] (Microsoft Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-06-24] (Avira Operations GmbH & Co. KG)
Winlogon\Notify\VESWinlogon: VESWinlogon.dll (Sony Corporation)
HKU\xyz\...\Run: [NetLimiter] - C:\Program Files\NetLimiter 3\NLClientApp.exe /tray [x]

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-06-24] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-06-24] (Avira Operations GmbH & Co. KG)
S2 VAIO Event Service; C:\Program Files\Sony\VAIO Event Service\VESMgr.exe [182392 2007-08-14] (Sony Corporation)

==================== Drivers (Whitelisted) ====================

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-27] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-27] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-27] (Avira Operations GmbH & Co. KG)
S1 ElbyCDIO; C:\Windows\System32\Drivers\ElbyCDIO.sys [31088 2010-12-16] (Elaborate Bytes AG)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-03-24] (Avira GmbH)
S3 ssudserd; C:\Windows\System32\DRIVERS\ssudserd.sys [181912 2013-04-03] (DEVGURU Co., LTD.(www.devguru.co.kr))
S3 ti21sony; C:\Windows\System32\drivers\ti21sony.sys [812544 2008-01-30] (Texas Instruments)
S3 catchme; \??\C:\Users\xyz\AppData\Local\Temp\catchme.sys [x]
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
S3 NLNdisMP; system32\DRIVERS\nlndis.sys [x]
S3 NLNdisPT; system32\DRIVERS\nlndis.sys [x]
S3 Tq_91Assistant; \??\C:\Program Files\NetDragon\91 Mobile\iPhone\Tq_91Assistant.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-29 21:29 - 2013-07-29 21:29 - 00000000 ____D C:\FRST
2013-07-29 20:16 - 2013-07-29 20:16 - 01221282 _____ (Farbar) C:\Users\xyz\Desktop\FRST.exe
2013-07-28 19:49 - 2013-07-28 19:49 - 00009728 ___SH C:\Users\xyz\Thumbs.db
2013-07-28 18:24 - 2013-07-28 18:24 - 00163060 _____ C:\ProgramData\2433f433
2013-07-28 18:24 - 2013-07-28 18:24 - 00163054 _____ C:\Users\xyz\AppData\Roaming\2433f433
2013-07-28 18:24 - 2013-07-28 18:24 - 00162983 _____ C:\Users\xyz\AppData\Local\2433f433
2013-07-24 10:16 - 2013-07-27 11:54 - 00000000 ____D C:\Users\xyz\Desktop\xyz
2013-07-12 15:16 - 2013-07-12 15:16 - 00001494 _____ C:\Users\xyz\AppData\Local\recently-used.xbel
2013-07-12 15:08 - 2013-07-12 15:11 - 00000000 ____D C:\ProgramData\Package Cache
2013-07-10 10:17 - 2013-06-12 00:43 - 14329856 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-07-10 10:17 - 2013-06-12 00:43 - 02877440 _____ (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-07-10 10:17 - 2013-06-12 00:43 - 01767936 _____ (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-07-10 10:17 - 2013-06-12 00:43 - 01141248 _____ (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-07-10 10:17 - 2013-06-12 00:43 - 00690688 _____ (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-07-10 10:17 - 2013-06-12 00:43 - 00493056 _____ (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-07-10 10:17 - 2013-06-12 00:43 - 00042496 _____ (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-07-10 10:17 - 2013-06-12 00:43 - 00039424 _____ (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-07-10 10:17 - 2013-06-12 00:42 - 13760512 _____ (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-07-10 10:17 - 2013-06-12 00:42 - 02046976 _____ (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-07-10 10:17 - 2013-06-12 00:42 - 00391168 _____ (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-07-10 10:17 - 2013-06-12 00:42 - 00109056 _____ (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-07-10 10:17 - 2013-06-12 00:42 - 00061440 _____ (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-07-10 10:17 - 2013-06-12 00:42 - 00033280 _____ (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-07-10 10:17 - 2013-06-11 23:51 - 00071680 _____ (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-07-10 10:17 - 2013-06-07 03:37 - 02706432 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-07-10 09:42 - 2013-06-05 04:05 - 02347520 _____ (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-07-10 09:42 - 2013-06-04 05:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\System32\qedit.dll
2013-07-10 09:42 - 2013-05-06 05:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\System32\WMVDECOD.DLL
2013-07-10 09:42 - 2013-04-10 00:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2013-06-30 12:42 - 2013-07-29 20:22 - 00000392 _____ C:\Windows\setupact.log
2013-06-30 12:42 - 2013-07-28 18:26 - 00002046 _____ C:\Windows\PFRO.log
2013-06-30 12:42 - 2013-06-30 12:42 - 00000000 _____ C:\Windows\setuperr.log

==================== One Month Modified Files and Folders =======

2013-07-29 20:22 - 2013-06-30 12:42 - 00000392 _____ C:\Windows\setupact.log
2013-07-29 20:22 - 2012-10-14 20:17 - 00054318 _____ C:\Users\xyz\AppData\Roaming\nvModes.001
2013-07-29 20:21 - 2012-10-14 18:20 - 01174121 _____ C:\Windows\WindowsUpdate.log
2013-07-29 20:21 - 2009-07-14 05:34 - 00021808 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-29 20:21 - 2009-07-14 05:34 - 00021808 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-29 20:16 - 2013-07-29 20:16 - 01221282 _____ (Farbar) C:\Users\xyz\Desktop\FRST.exe
2013-07-29 20:16 - 2010-11-20 22:01 - 01472002 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-28 19:51 - 2012-10-14 18:26 - 00000000 ____D C:\users\xyz
2013-07-28 19:49 - 2013-07-28 19:49 - 00009728 ___SH C:\Users\xyz\Thumbs.db
2013-07-28 18:26 - 2013-06-30 12:42 - 00002046 _____ C:\Windows\PFRO.log
2013-07-28 18:24 - 2013-07-28 18:24 - 00163060 _____ C:\ProgramData\2433f433
2013-07-28 18:24 - 2013-07-28 18:24 - 00163054 _____ C:\Users\xyz\AppData\Roaming\2433f433
2013-07-28 18:24 - 2013-07-28 18:24 - 00162983 _____ C:\Users\xyz\AppData\Local\2433f433
2013-07-27 11:54 - 2013-07-24 10:16 - 00000000 ____D C:\Users\xyz\Desktop\Bilder xyz
2013-07-25 20:31 - 2012-10-14 19:15 - 00054318 _____ C:\Users\xyz\AppData\Roaming\nvModes.dat
2013-07-12 20:44 - 2012-10-14 20:28 - 00000000 ____D C:\Users\xyz\AppData\Roaming\vlc
2013-07-12 15:17 - 2013-02-18 13:06 - 00000000 ____D C:\Users\xyz\.gimp-2.8
2013-07-12 15:16 - 2013-07-12 15:16 - 00001494 _____ C:\Users\xyz\AppData\Local\recently-used.xbel
2013-07-12 15:11 - 2013-07-12 15:08 - 00000000 ____D C:\ProgramData\Package Cache
2013-07-10 16:08 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-10 10:22 - 2012-10-14 19:12 - 00000000 ____D C:\Windows\Panther
2013-07-10 10:22 - 2009-07-14 05:33 - 00406856 _____ C:\Windows\System32\FNTCACHE.DAT
2013-07-10 10:19 - 2011-04-12 02:39 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-10 10:19 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-10 10:15 - 2012-10-14 18:51 - 75699896 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-07-07 20:57 - 2012-10-14 18:58 - 00000000 ____D C:\Program Files\Opera
2013-06-30 12:42 - 2013-06-30 12:42 - 00000000 _____ C:\Windows\setuperr.log
2013-06-29 22:32 - 2013-06-28 19:57 - 00000000 __SHD C:\Windows\System32\AI_RecycleBin
2013-06-29 21:04 - 2013-02-03 13:57 - 00000000 ____D C:\Users\xyz\AppData\Roaming\xyz

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-06-29 22:32:25
Restore point made on: 2013-07-08 18:58:45
Restore point made on: 2013-07-10 10:15:09
Restore point made on: 2013-07-12 15:08:47
Restore point made on: 2013-07-12 15:10:19
Restore point made on: 2013-07-21 20:51:02
Restore point made on: 2013-07-29 18:28:06

==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 4094.43 MB
Available physical RAM: 3619.11 MB
Total Pagefile: 4092.71 MB
Available Pagefile: 3620.31 MB
Total Virtual: 2047.88 MB
Available Virtual: 1924.71 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:111.12 GB) (Free:59.38 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Volume) (Fixed) (Total:64.65 GB) (Free:0.59 GB) NTFS
Drive e: (Recovery) (Fixed) (Total:10.54 GB) (Free:0.85 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: (PES2013_R2) (CDROM) (Total:6.07 GB) (Free:0 GB) UDF
Drive g: () (Removable) (Total:0.93 GB) (Free:0.93 GB) FAT32
Drive h: (CDROM) (CDROM) (Total:0.02 GB) (Free:0 GB) UDF
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 186 GB) (Disk ID: 810AB128)
Partition 1: (Not Active) - (Size=11 GB) - (Type=27)
Partition 2: (Active) - (Size=111 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=65 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 956 MB) (Disk ID: 6E652072)
No partition Table on disk 1.


LastRegBack: 2013-07-28 19:01

==================== End Of Log ============================
--- --- ---

--- --- ---


Hallo, habe zusätzlich noch einen Avira Scan durchgeführt. LogFile ist beigefügt.

Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 29. Juli 2013  22:18


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : xyz
Computername  : xyz-PC

Versionsinformationen:
BUILD.DAT      : 13.0.0.3884          Bytes  18.07.2013 22:03:00
AVSCAN.EXE    : 13.6.0.1722  634936 Bytes  24.06.2013 08:14:48
AVSCANRC.DLL  : 13.6.0.1550    62520 Bytes  24.06.2013 08:14:48
LUKE.DLL      : 13.6.0.1550    65080 Bytes  24.06.2013 08:14:54
AVSCPLR.DLL    : 13.6.0.1712    92216 Bytes  24.06.2013 08:14:48
AVREG.DLL      : 13.6.0.1550  247864 Bytes  24.06.2013 08:14:48
avlode.dll    : 13.6.2.1704  449592 Bytes  24.06.2013 08:14:47
avlode.rdf    : 13.0.1.22      26240 Bytes  11.07.2013 15:49:06
VBASE000.VDF  : 7.11.70.0  66736640 Bytes  04.04.2013 10:29:29
VBASE001.VDF  : 7.11.74.226  2201600 Bytes  30.04.2013 13:29:26
VBASE002.VDF  : 7.11.80.60  2751488 Bytes  28.05.2013 14:16:36
VBASE003.VDF  : 7.11.85.214  2162688 Bytes  21.06.2013 19:11:36
VBASE004.VDF  : 7.11.91.176  3903488 Bytes  23.07.2013 15:42:14
VBASE005.VDF  : 7.11.91.177    2048 Bytes  23.07.2013 15:42:14
VBASE006.VDF  : 7.11.91.178    2048 Bytes  23.07.2013 15:42:14
VBASE007.VDF  : 7.11.91.179    2048 Bytes  23.07.2013 15:42:14
VBASE008.VDF  : 7.11.91.180    2048 Bytes  23.07.2013 15:42:14
VBASE009.VDF  : 7.11.91.181    2048 Bytes  23.07.2013 15:42:14
VBASE010.VDF  : 7.11.91.182    2048 Bytes  23.07.2013 15:42:14
VBASE011.VDF  : 7.11.91.183    2048 Bytes  23.07.2013 15:42:14
VBASE012.VDF  : 7.11.91.184    2048 Bytes  23.07.2013 15:42:14
VBASE013.VDF  : 7.11.92.32    156160 Bytes  24.07.2013 18:21:53
VBASE014.VDF  : 7.11.92.147  168960 Bytes  25.07.2013 18:21:53
VBASE015.VDF  : 7.11.93.93    419328 Bytes  28.07.2013 17:22:54
VBASE016.VDF  : 7.11.93.170  1403392 Bytes  29.07.2013 15:58:42
VBASE017.VDF  : 7.11.93.171    2048 Bytes  29.07.2013 15:58:42
VBASE018.VDF  : 7.11.93.172    2048 Bytes  29.07.2013 15:58:42
VBASE019.VDF  : 7.11.93.173    2048 Bytes  29.07.2013 15:58:42
VBASE020.VDF  : 7.11.93.174    2048 Bytes  29.07.2013 15:58:42
VBASE021.VDF  : 7.11.93.175    2048 Bytes  29.07.2013 15:58:42
VBASE022.VDF  : 7.11.93.176    2048 Bytes  29.07.2013 15:58:42
VBASE023.VDF  : 7.11.93.177    2048 Bytes  29.07.2013 15:58:42
VBASE024.VDF  : 7.11.93.178    2048 Bytes  29.07.2013 15:58:42
VBASE025.VDF  : 7.11.93.179    2048 Bytes  29.07.2013 15:58:42
VBASE026.VDF  : 7.11.93.180    2048 Bytes  29.07.2013 15:58:42
VBASE027.VDF  : 7.11.93.181    2048 Bytes  29.07.2013 15:58:42
VBASE028.VDF  : 7.11.93.182    2048 Bytes  29.07.2013 15:58:42
VBASE029.VDF  : 7.11.93.183    2048 Bytes  29.07.2013 15:58:42
VBASE030.VDF  : 7.11.93.184    2048 Bytes  29.07.2013 15:58:42
VBASE031.VDF  : 7.11.93.206    59904 Bytes  29.07.2013 15:58:42
Engineversion  : 8.2.12.94
AEVDF.DLL      : 8.1.3.4      102774 Bytes  13.06.2013 15:18:35
AESCRIPT.DLL  : 8.1.4.136    504190 Bytes  26.07.2013 16:18:00
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 16:27:04
AESBX.DLL      : 8.2.5.12      606578 Bytes  24.03.2013 20:11:31
AERDL.DLL      : 8.2.0.128    688504 Bytes  13.06.2013 15:18:34
AEPACK.DLL    : 8.3.2.24      749945 Bytes  20.06.2013 12:18:59
AEOFFICE.DLL  : 8.1.2.74      205181 Bytes  26.07.2013 16:17:59
AEHEUR.DLL    : 8.1.4.504    6046074 Bytes  26.07.2013 16:17:59
AEHELP.DLL    : 8.1.27.4      266617 Bytes  27.06.2013 16:34:25
AEGEN.DLL      : 8.1.7.10      442743 Bytes  26.07.2013 16:17:58
AEEXP.DLL      : 8.4.1.36      278903 Bytes  26.07.2013 16:18:00
AEEMU.DLL      : 8.1.3.2      393587 Bytes  24.03.2013 20:11:23
AECORE.DLL    : 8.1.31.6      201081 Bytes  27.06.2013 16:34:25
AEBB.DLL      : 8.1.1.4        53619 Bytes  24.03.2013 20:11:23
AVWINLL.DLL    : 13.6.0.1550    23608 Bytes  24.06.2013 08:14:45
AVPREF.DLL    : 13.6.0.1550    48184 Bytes  24.06.2013 08:14:47
AVREP.DLL      : 13.6.0.1550  175672 Bytes  24.06.2013 08:14:48
AVARKT.DLL    : 13.6.0.1626  258104 Bytes  24.06.2013 08:14:46
AVEVTLOG.DLL  : 13.6.0.1550  164920 Bytes  24.06.2013 08:14:47
SQLITE3.DLL    : 3.7.0.1      397704 Bytes  24.03.2013 20:12:06
AVSMTP.DLL    : 13.6.0.1550    59960 Bytes  24.06.2013 08:14:48
NETNT.DLL      : 13.6.0.1550    13368 Bytes  24.06.2013 08:14:54
RCIMAGE.DLL    : 13.4.0.360  4780832 Bytes  24.03.2013 20:09:14
RCTEXT.DLL    : 13.6.0.1624    67128 Bytes  24.06.2013 08:14:45

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 29. Juli 2013  22:18

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '221' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '76' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2207' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\xyz\AppData\Local\temp\gnxmwaqvqhlxirjix.dll
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Androm.agnh
C:\Users\xyz\AppData\Local\temp\gnxmwaqvqhlxirjix.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Androm.agnh
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-219e9904
    [0] Archivtyp: ZIP
    --> a.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.cko
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$SystemClass.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.FW
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X1Class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckp
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X2class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckq
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423.AD
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> picture.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-3731a471
    [0] Archivtyp: ZIP
    --> a.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.cko
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$SystemClass.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.FW
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X1Class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckp
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X2class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckq
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423.AD
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> picture.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-68a61357
    [0] Archivtyp: ZIP
    --> a.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.cko
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$SystemClass.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.FW
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X1Class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckp
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X2class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckq
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423.AD
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> picture.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-6e8f2629
    [0] Archivtyp: ZIP
    --> a.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.cko
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$SystemClass.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.FW
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X1Class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckp
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code$X2class.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckq
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Code.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423.AD
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> picture.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\5ce21b4-7dfdd37a
    [0] Archivtyp: ZIP
    --> c.class
        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Obfshlp.FL
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> zz.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.MZ
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
    --> Djv.class
        [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-0422.B2.Gen
        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
Beginne mit der Suche in 'D:\' <Volume>

Beginne mit der Desinfektion:
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\5ce21b4-7dfdd37a
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-0422.B2.Gen
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5455413f.qua' verschoben!
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-6e8f2629
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb46e96.qua' verschoben!
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-68a61357
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1eeb347e.qua' verschoben!
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-3731a471
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78dc7bbc.qua' verschoben!
C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\4a759355-219e9904
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.ckr
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3d585682.qua' verschoben!
C:\Users\xyz\AppData\Local\temp\gnxmwaqvqhlxirjix.exe
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Androm.agnh
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '420064f6.qua' verschoben!
C:\Users\xyz\AppData\Local\temp\gnxmwaqvqhlxirjix.dll
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Androm.agnh
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0eb848bc.qua' verschoben!


Ende des Suchlaufs: Montag, 29. Juli 2013  23:39
Benötigte Zeit: 41:16 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  19991 Verzeichnisse wurden überprüft
 327065 Dateien wurden geprüft
    29 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 327036 Dateien ohne Befall
  3921 Archive wurden durchsucht
    27 Warnungen
      7 Hinweise

schrauber 30.07.2013 07:25
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
2013-07-28 18:24 - 2013-07-28 18:24 - 00163060 _____ C:\ProgramData\2433f433
2013-07-28 18:24 - 2013-07-28 18:24 - 00163054 _____ C:\Users\xyz\AppData\Roaming\2433f433
2013-07-28 18:24 - 2013-07-28 18:24 - 00162983 _____ C:\Users\xyz\AppData\Local\2433f433
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

need.help 30.07.2013 17:39
Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 30-07-2013 01
Ran by SYSTEM at 2013-07-30 18:34:51 Run:1
Running from H:\
Boot Mode: Recovery

==============================================

C:\ProgramData\2433f433 => Moved successfully.
C:\Users\xyz\AppData\Roaming\2433f433 => Moved successfully.
C:\Users\xyz\AppData\Local\2433f433 => Moved successfully.

==== End of Fixlog ====
Hallo,

lässt sich schon sagen, welchen Schweregrad der Befall insgesamt hat bzw. was der Avira Scan aussagt?

Danke

schrauber 31.07.2013 08:03
Kannste normal booten? Wenn nicht frischen FRST Scan aus der Recovery bitte.

need.help 31.07.2013 08:06
Ja, ich kann normal booten...

schrauber 31.07.2013 09:55
Dann ab jetzt Kontrollscans aus dem normalen Modus :)

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


Normal ist diese Infektion bis auf den Sperrbildschirm recht harmlos.

need.help 31.07.2013 22:49
Code:
# AdwCleaner v2.306 - Datei am 31/07/2013 um 23:20:37 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (32 bits)
# Benutzer : xyz- xyz-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\xyz\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\END
Ordner Gelöscht : C:\Program Files\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\Program Files\Common Files\Wondershare
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Program Files\Wondershare
Ordner Gelöscht : C:\Users\xyz\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\xyz\AppData\Local\Wondershare
Ordner Gelöscht : C:\Users\xyz\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\xyz\AppData\Roaming\DesktopIconForAmazon
Ordner Gelöscht : C:\Users\xyz\AppData\Roaming\dvdvideosoftiehelpers

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\videosaver
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\SmartBar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{56561B2A-FB5D-363A-9631-4C03D6054209}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A717364F-69F3-3A24-ADD5-3901A57F880E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CCB08265-B35D-30B2-A6AF-6986CA957358}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CD92622E-49B9-33B7-98D1-EC51049457D7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E041E037-FA4B-364A-B440-7A1051EA0301}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IESmartBar.BandObjectAttribute
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IESmartBar.BHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IESmartBar.DockingPanel
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IESmartBar.IESmartBar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IESmartBar.IESmartBarBandObject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IESmartBar.SmartbarDisplayState
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IESmartBar.SmartbarMenuForm
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FD8F79A0-D2E2-4FA2-AEAF-393EAC8064F7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT3279453
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\QuickShare_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\QuickShare_RASMANCS
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\789034A89BAC50E4782F0A7BDBF75632
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\A97CEC23332751B47BA4B95BAA50C9D0
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\649A52D257CA5DB4EAAE8BA9EB23E467
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F754C503375A13344B22388E18DFE87E
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16635

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Opera v12.16.1860.0

Datei : C:\Users\xyz\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [3858 octets] - [31/07/2013 23:20:37]

########## EOF - C:\AdwCleaner[S1].txt - [3918 octets] ##########
Code:
~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\tracing\apnstub_rasapi32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\tracing\apnstub_rasmancs



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Windows\system32\ai_recyclebin"



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 31.07.2013 at 23:29:21,81
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 30-07-2013 01
Ran by xyz (administrator) on 31-07-2013 23:33:14
Running from C:\Users\xyz\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(HP) C:\Windows\system32\HPSIsvc.exe
(IDT, Inc.) C:\Windows\system32\stacsv.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvSvc] - RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart [x]
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [x]
HKLM\...\Run: [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [x]
HKLM\...\Run: [GrooveMonitor] - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-06-24] (Avira Operations GmbH & Co. KG)
Winlogon\Notify\VESWinlogon: VESWinlogon.dll (Sony Corporation)
HKCU\...\Run: [NetLimiter] - C:\Program Files\NetLimiter 3\NLClientApp.exe /tray [x]

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKCU -No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GRA32A~1.DLL (Microsoft Corporation)
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~1\Office12\GR469A~1.DLL [2210608 2006-10-27] (Microsoft Corporation)
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @java.com/DTPlugin,version=10.17.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.17.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files\xyz\xyz\datapack\orbit\npuplaypc.dll (Ubisoft)

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-06-24] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-06-24] (Avira Operations GmbH & Co. KG)
R2 VAIO Event Service; C:\Program Files\Sony\VAIO Event Service\VESMgr.exe [182392 2007-08-14] (Sony Corporation)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 ElbyCDIO; C:\Windows\System32\Drivers\ElbyCDIO.sys [31088 2010-12-17] (Elaborate Bytes AG)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-03-24] (Avira GmbH)
S3 ssudserd; C:\Windows\System32\DRIVERS\ssudserd.sys [181912 2013-04-03] (DEVGURU Co., LTD.(www.devguru.co.kr))
R3 ti21sony; C:\Windows\System32\drivers\ti21sony.sys [812544 2008-01-30] (Texas Instruments)
S3 catchme; \??\C:\Users\xyz\AppData\Local\Temp\catchme.sys [x]
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
S3 NLNdisMP; system32\DRIVERS\nlndis.sys [x]
S3 NLNdisPT; system32\DRIVERS\nlndis.sys [x]
S3 Tq_91Assistant; \??\C:\Program Files\NetDragon\91 Mobile\iPhone\Tq_91Assistant.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-31 23:29 - 2013-07-31 23:29 - 00000900 _____ C:\Users\xyz\Desktop\JRT.txt
2013-07-31 23:26 - 2013-07-31 23:26 - 00562430 _____ (Oleg N. Scherbakov) C:\Users\xyz\Desktop\JRT.exe
2013-07-31 23:20 - 2013-07-31 23:20 - 00003987 _____ C:\Users\xyz\Desktop\AdwCleaner[S1].txt
2013-07-31 23:18 - 2013-07-31 23:19 - 00000055 _____ C:\Users\xyz\Desktop\gfhz.txt
2013-07-31 23:18 - 2013-07-31 23:18 - 00666633 _____ C:\Users\xyz\Desktop\adwcleaner.exe
2013-07-29 22:29 - 2013-07-29 22:29 - 00000000 ____D C:\FRST
2013-07-29 21:23 - 2013-07-29 21:17 - 01221282 _____ (Farbar) C:\Users\xyz\Desktop\FRST.exe
2013-07-28 20:49 - 2013-07-28 20:49 - 00009728 ___SH C:\Users\xyz\Thumbs.db
2013-07-24 11:16 - 2013-07-27 12:54 - 00000000 ____D C:\Users\xyz\Desktop\Bilder xyz
2013-07-12 16:16 - 2013-07-12 16:16 - 00001494 _____ C:\Users\xyz\AppData\Local\recently-used.xbel
2013-07-12 16:08 - 2013-07-12 16:11 - 00000000 ____D C:\ProgramData\Package Cache
2013-07-10 11:17 - 2013-06-12 01:43 - 14329856 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 02877440 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 01767936 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 01141248 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 00493056 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 00042496 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-07-10 11:17 - 2013-06-12 01:43 - 00039424 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 13760512 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 02046976 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00391168 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00061440 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00033280 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-07-10 11:17 - 2013-06-12 00:51 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2013-07-10 11:17 - 2013-06-07 04:37 - 02706432 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-10 10:42 - 2013-06-05 05:05 - 02347520 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-10 10:42 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-10 10:42 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-10 10:42 - 2013-04-10 01:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll

==================== One Month Modified Files and Folders =======

2013-07-31 23:31 - 2012-10-14 21:17 - 00054318 _____ C:\Users\xyz\AppData\Roaming\nvModes.001
2013-07-31 23:29 - 2013-07-31 23:29 - 00000900 _____ C:\Users\xyz\Desktop\JRT.txt
2013-07-31 23:29 - 2009-07-14 06:34 - 00021808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-31 23:29 - 2009-07-14 06:34 - 00021808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-31 23:26 - 2013-07-31 23:26 - 00562430 _____ (Oleg N. Scherbakov) C:\Users\xyz\Desktop\JRT.exe
2013-07-31 23:22 - 2013-06-30 13:42 - 00000560 _____ C:\Windows\setupact.log
2013-07-31 23:22 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-31 23:21 - 2012-10-14 19:20 - 01247069 _____ C:\Windows\WindowsUpdate.log
2013-07-31 23:20 - 2013-07-31 23:20 - 00003987 _____ C:\Users\xyz\Desktop\AdwCleaner[S1].txt
2013-07-31 23:19 - 2013-07-31 23:18 - 00000055 _____ C:\Users\xyz\Desktop\gfhz.txt
2013-07-31 23:18 - 2013-07-31 23:18 - 00666633 _____ C:\Users\xyz\Desktop\adwcleaner.exe
2013-07-31 22:52 - 2012-10-14 21:07 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-30 22:23 - 2012-10-14 20:15 - 00054318 _____ C:\Users\xyz\AppData\Roaming\nvModes.dat
2013-07-29 22:29 - 2013-07-29 22:29 - 00000000 ____D C:\FRST
2013-07-29 21:55 - 2013-04-09 16:08 - 00000000 ____D C:\Program Files\WISO
2013-07-29 21:55 - 2012-10-14 21:31 - 00000000 ___HD C:\Program Files\InstallShield Installation Information
2013-07-29 21:54 - 2013-05-23 16:49 - 00000000 ____D C:\Program Files\MyFree Codec
2013-07-29 21:52 - 2013-05-23 16:57 - 00000000 ____D C:\Users\xyz\AppData\Roaming\Samsung
2013-07-29 21:52 - 2013-05-23 16:47 - 00000000 ____D C:\ProgramData\Samsung
2013-07-29 21:52 - 2013-05-23 16:47 - 00000000 ____D C:\Program Files\Samsung
2013-07-29 21:47 - 2010-11-20 23:01 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-29 21:17 - 2013-07-29 21:23 - 01221282 _____ (Farbar) C:\Users\xyz\Desktop\FRST.exe
2013-07-28 20:51 - 2012-10-14 19:26 - 00000000 ____D C:\Users\xyz
2013-07-28 20:49 - 2013-07-28 20:49 - 00009728 ___SH C:\Users\xyz\Thumbs.db
2013-07-28 19:26 - 2013-06-30 13:42 - 00002046 _____ C:\Windows\PFRO.log
2013-07-27 12:54 - 2013-07-24 11:16 - 00000000 ____D C:\Users\xyz\Desktop\Bilder xyz
2013-07-12 21:44 - 2012-10-14 21:28 - 00000000 ____D C:\Users\xyz\AppData\Roaming\vlc
2013-07-12 16:17 - 2013-02-18 14:06 - 00000000 ____D C:\Users\xyz\.gimp-2.8
2013-07-12 16:16 - 2013-07-12 16:16 - 00001494 _____ C:\Users\xyz\AppData\Local\recently-used.xbel
2013-07-12 16:11 - 2013-07-12 16:08 - 00000000 ____D C:\ProgramData\Package Cache
2013-07-10 17:08 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-10 11:22 - 2012-10-14 20:12 - 00000000 ____D C:\Windows\Panther
2013-07-10 11:22 - 2009-07-14 06:33 - 00406856 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-10 11:19 - 2011-04-12 03:39 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-10 11:19 - 2009-07-14 06:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-10 11:15 - 2012-10-14 19:51 - 75699896 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-07-07 21:57 - 2012-10-14 19:58 - 00000000 ____D C:\Program Files\Opera

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-28 20:01

==================== End Of Log ============================
--- --- ---

--- --- ---

schrauber 01.08.2013 09:25

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

need.help 01.08.2013 18:40
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=aa44e4eaec2cd34195aeab68adf2654e
# engine=14614
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-01 05:32:05
# local_time=2013-08-01 07:32:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 97 6426 11226173 0 0
# compatibility_mode=5893 16776574 100 94 1930351 127009516 0 0
# scanned=126835
# found=2
# cleaned=0
# scan_time=2275
sh=771FF9244089896A1105B2D3EC26B9ADE08B1D97 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.NUS trojan" ac=I fn="C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\ac2d017-31d32571"
sh=B7D367F13970BECF5C4E59FA372E61CBF075B568 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.PAH trojan" ac=I fn="C:\Users\xyz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\307a1d76-31b8d02f"
Code:
Results of screen317's Security Check version 0.99.71 
 Windows 7 Service Pack 1 x86 (UAC is enabled) 
 Internet Explorer 10 
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop 
 Antivirus up to date!  (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
 Java 7 Update 17 
 Java version out of Date!
 Adobe Flash Player        11.7.700.224 
 Adobe Reader XI 
````````Process Check: objlist.exe by Laurent```````` 
 Avira Antivir avgnt.exe
 Avira Antivir avguard.exe
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````

schrauber 02.08.2013 10:49
Java updaten.

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Frisches FRST log bitte. Noch Probleme?

need.help 02.08.2013 16:09
Java Update habe ich gemacht, TFC wie beschrieben ausgeführt und hier noch das Ergebnis vom FRST-Scan.
Danke soweit + schönes Wochenende!


FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 01-08-2013 01
Ran by xyz (administrator) on 02-08-2013 17:01:42
Running from C:\Users\xyz\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
(HP) C:\Windows\system32\HPSIsvc.exe
(IDT, Inc.) C:\Windows\system32\stacsv.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
(Sony Corporation) C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Opera Software) C:\Program Files\Opera\opera.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvSvc] - RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart [x]
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [x]
HKLM\...\Run: [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [x]
HKLM\...\Run: [GrooveMonitor] - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-06-24] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation)
Winlogon\Notify\VESWinlogon: VESWinlogon.dll (Sony Corporation)
HKCU\...\Run: [NetLimiter] - C:\Program Files\NetLimiter 3\NLClientApp.exe /tray [x]

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM - DefaultScope value is missing.
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKCU -No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GRA32A~1.DLL (Microsoft Corporation)
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~1\Office12\GR469A~1.DLL [2210608 2006-10-27] (Microsoft Corporation)
Winsock: Catalog5 08 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @java.com/DTPlugin,version=10.25.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.25.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files\Ubisoft\Trials Evolution Gold Edition\datapack\orbit\npuplaypc.dll (Ubisoft)

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-06-24] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-06-24] (Avira Operations GmbH & Co. KG)
R2 VAIO Event Service; C:\Program Files\Sony\VAIO Event Service\VESMgr.exe [182392 2007-08-14] (Sony Corporation)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-27] (Avira Operations GmbH & Co. KG)
R1 ElbyCDIO; C:\Windows\System32\Drivers\ElbyCDIO.sys [31088 2010-12-17] (Elaborate Bytes AG)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-03-24] (Avira GmbH)
S3 ssudserd; C:\Windows\System32\DRIVERS\ssudserd.sys [181912 2013-04-03] (DEVGURU Co., LTD.(www.devguru.co.kr))
R3 ti21sony; C:\Windows\System32\drivers\ti21sony.sys [812544 2008-01-30] (Texas Instruments)
S3 catchme; \??\C:\Users\xyz\AppData\Local\Temp\catchme.sys [x]
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
S3 NLNdisMP; system32\DRIVERS\nlndis.sys [x]
S3 NLNdisPT; system32\DRIVERS\nlndis.sys [x]
S3 Tq_91Assistant; \??\C:\Program Files\NetDragon\91 Mobile\iPhone\Tq_91Assistant.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-02 17:00 - 2013-08-02 17:01 - 01222124 _____ (Farbar) C:\Users\xyz\Desktop\FRST.exe
2013-08-02 16:46 - 2013-08-02 16:46 - 00263592 _____ (Oracle Corporation) C:\Windows\system32\javaws.exe
2013-08-02 16:46 - 2013-08-02 16:46 - 00175016 _____ (Oracle Corporation) C:\Windows\system32\javaw.exe
2013-08-02 16:46 - 2013-08-02 16:46 - 00175016 _____ (Oracle Corporation) C:\Windows\system32\java.exe
2013-08-02 16:46 - 2013-08-02 16:46 - 00094632 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2013-08-02 16:46 - 2013-08-02 16:46 - 00000000 ____D C:\Program Files\Common Files\Java
2013-07-29 22:29 - 2013-07-29 22:29 - 00000000 ____D C:\FRST
2013-07-28 20:49 - 2013-07-28 20:49 - 00009728 ___SH C:\Users\xyz\Thumbs.db
2013-07-24 11:16 - 2013-07-27 12:54 - 00000000 ____D C:\Users\xyz\Desktop\Bilder xyz
2013-07-12 16:16 - 2013-07-12 16:16 - 00001494 _____ C:\Users\xyz\AppData\Local\recently-used.xbel
2013-07-12 16:08 - 2013-07-12 16:11 - 00000000 ____D C:\ProgramData\Package Cache
2013-07-10 11:17 - 2013-06-12 01:43 - 14329856 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 02877440 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 01767936 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 01141248 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 00690688 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 00493056 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-10 11:17 - 2013-06-12 01:43 - 00042496 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2013-07-10 11:17 - 2013-06-12 01:43 - 00039424 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 13760512 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 02046976 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00391168 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00109056 _____ (Microsoft Corporation) C:\Windows\system32\iesysprep.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00061440 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2013-07-10 11:17 - 2013-06-12 01:42 - 00033280 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2013-07-10 11:17 - 2013-06-12 00:51 - 00071680 _____ (Microsoft Corporation) C:\Windows\system32\RegisterIEPKEYs.exe
2013-07-10 11:17 - 2013-06-07 04:37 - 02706432 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-10 10:42 - 2013-06-05 05:05 - 02347520 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-10 10:42 - 2013-06-04 06:53 - 00509440 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-10 10:42 - 2013-05-06 06:56 - 01620480 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-10 10:42 - 2013-04-10 01:34 - 01247744 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll

==================== One Month Modified Files and Folders =======

2013-08-02 16:52 - 2012-10-14 21:07 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-02 16:46 - 2013-08-02 16:46 - 00263592 _____ (Oracle Corporation) C:\Windows\system32\javaws.exe
2013-08-02 16:46 - 2013-08-02 16:46 - 00175016 _____ (Oracle Corporation) C:\Windows\system32\javaw.exe
2013-08-02 16:46 - 2013-08-02 16:46 - 00175016 _____ (Oracle Corporation) C:\Windows\system32\java.exe
2013-08-02 16:46 - 2013-08-02 16:46 - 00094632 _____ (Oracle Corporation) C:\Windows\system32\WindowsAccessBridge.dll
2013-08-02 16:46 - 2013-08-02 16:46 - 00000000 ____D C:\Program Files\Common Files\Java
2013-08-02 16:46 - 2012-10-14 21:10 - 00867240 _____ (Oracle Corporation) C:\Windows\system32\npDeployJava1.dll
2013-08-02 16:46 - 2012-10-14 21:10 - 00789416 _____ (Oracle Corporation) C:\Windows\system32\deployJava1.dll
2013-08-02 16:46 - 2012-10-14 21:09 - 00000000 ____D C:\Program Files\Java
2013-08-01 21:32 - 2012-10-14 19:20 - 01291175 _____ C:\Windows\WindowsUpdate.log
2013-08-01 20:26 - 2012-10-14 21:17 - 00054318 _____ C:\Users\xyz\AppData\Roaming\nvModes.001
2013-08-01 20:26 - 2012-10-14 20:15 - 00054318 _____ C:\Users\xyz\AppData\Roaming\nvModes.dat
2013-08-01 10:59 - 2009-07-14 06:34 - 00021808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-01 10:59 - 2009-07-14 06:34 - 00021808 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-01 10:52 - 2013-06-30 13:42 - 00000616 _____ C:\Windows\setupact.log
2013-08-01 10:52 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-29 22:29 - 2013-07-29 22:29 - 00000000 ____D C:\FRST
2013-07-29 21:55 - 2013-04-09 16:08 - 00000000 ____D C:\Program Files\WISO
2013-07-29 21:55 - 2012-10-14 21:31 - 00000000 ___HD C:\Program Files\InstallShield Installation Information
2013-07-29 21:54 - 2013-05-23 16:49 - 00000000 ____D C:\Program Files\MyFree Codec
2013-07-29 21:52 - 2013-05-23 16:57 - 00000000 ____D C:\Users\xyz\AppData\Roaming\Samsung
2013-07-29 21:52 - 2013-05-23 16:47 - 00000000 ____D C:\ProgramData\Samsung
2013-07-29 21:52 - 2013-05-23 16:47 - 00000000 ____D C:\Program Files\Samsung
2013-07-29 21:47 - 2010-11-20 23:01 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-28 20:51 - 2012-10-14 19:26 - 00000000 ____D C:\Users\xyz
2013-07-28 20:49 - 2013-07-28 20:49 - 00009728 ___SH C:\Users\xyz\Thumbs.db
2013-07-28 19:26 - 2013-06-30 13:42 - 00002046 _____ C:\Windows\PFRO.log
2013-07-27 12:54 - 2013-07-24 11:16 - 00000000 ____D C:\Users\xyz\Desktop\Bilder xyz
2013-07-12 21:44 - 2012-10-14 21:28 - 00000000 ____D C:\Users\xyz\AppData\Roaming\vlc
2013-07-12 16:17 - 2013-02-18 14:06 - 00000000 ____D C:\Users\xyz\.gimp-2.8
2013-07-12 16:16 - 2013-07-12 16:16 - 00001494 _____ C:\Users\xyz\AppData\Local\recently-used.xbel
2013-07-12 16:11 - 2013-07-12 16:08 - 00000000 ____D C:\ProgramData\Package Cache
2013-07-10 17:08 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-10 11:22 - 2012-10-14 20:12 - 00000000 ____D C:\Windows\Panther
2013-07-10 11:22 - 2009-07-14 06:33 - 00406856 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-10 11:19 - 2011-04-12 03:39 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-10 11:19 - 2009-07-14 06:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-10 11:15 - 2012-10-14 19:51 - 75699896 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-07-07 21:57 - 2012-10-14 19:58 - 00000000 ____D C:\Program Files\Opera

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-28 20:01

==================== End Of Log ============================
--- --- ---

--- --- ---


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:49 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19