Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ACER TM 2350 mit W7 überlastet (https://www.trojaner-board.de/139228-acer-tm-2350-w7-ueberlastet.html)

Turismo 03.08.2013 09:56
ACER TM 2350 mit W7 überlastet
 
Hallo zusammen,

bin neu hier und habe Beiträge gelesen in: Bei Internetverbindung lastet svchost.exe den CPU 100 % aus
Ich habe ein ähnliches Problem: nach langem hin und her habe ich es geschafft auf mein altes ACER TM 2350 W7 zu installieren. Manchmal läuft es gut, oft sehr langsam. RAM von 2 GB ist auf 1950 MB ausgelastet und CPU bei Prozesse fast immer auf 99%. Soll ich auch ein Scan mit OTL durchführen?

Mit vielen Dank im Voraus,

Turismo

HAllo nochmal,

anbei die logs von antimalware und OTL:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.02.07

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Turismo :: TURISMO-PC [Administrator]

02.08.2013 19:59:01
mbam-log-2013-08-02 (19-59-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 400748
Laufzeit: 2 Stunde(n), 19 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)OTL Logfile:
OTL EXTRAS Logfile:
Code:
OTL logfile created on: 03.08.2013 09:21:00 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Turismo\Desktop
 Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,98 Gb Total Physical Memory | 1,24 Gb Available Physical Memory | 62,39% Memory free
3,97 Gb Paging File | 3,04 Gb Available in Paging File | 76,69% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 59,62 Gb Total Space | 22,73 Gb Free Space | 38,13% Space Free | Partition Type: NTFS
 
Computer Name: TURISMO-PC | User Name: Turismo | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (All) ==========
 
PRC - [2013.08.02 21:05:12 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Turismo\Desktop\OTL.exe
PRC - [2013.05.20 12:29:55 | 000,488,448 | ---- | M] (Realtek Semiconductor Corp.) -- C:\Users\Turismo\AppData\Local\Temp\RtkBtMnt.EXE
PRC - [2013.04.08 18:44:12 | 001,320,496 | ---- | M] (pdfforge GmbH) -- C:\Programme\PDF Architect\HelperService.exe
PRC - [2013.04.08 18:43:36 | 000,799,280 | ---- | M] (pdfforge GmbH) -- C:\Programme\PDF Architect\ConversionService.exe
PRC - [2013.03.19 04:50:03 | 000,069,632 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\smss.exe
PRC - [2013.02.04 19:55:35 | 002,890,232 | ---- | M] (Sophos Limited) -- C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
PRC - [2013.01.11 14:12:02 | 000,790,008 | ---- | M] (Sophos Limited) -- C:\ProgramData\Sophos\AutoUpdate\Cache\sophos_autoupdate1.dir\ALUpdate.exe
PRC - [2013.01.11 14:11:57 | 000,929,272 | ---- | M] (Sophos Limited) -- C:\Program Files\Sophos\AutoUpdate\ALMon.exe
PRC - [2013.01.11 14:11:54 | 000,237,048 | ---- | M] (Sophos Limited) -- C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
PRC - [2013.01.11 14:11:24 | 000,217,592 | ---- | M] (Sophos Limited) -- C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
PRC - [2013.01.02 17:49:24 | 000,009,216 | ---- | M] (www.shadowexplorer.com) -- C:\Program Files\ShadowExplorer\sesvc.exe
PRC - [2012.11.12 18:00:09 | 000,357,400 | ---- | M] (Sophos Limited) -- C:\Program Files\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
PRC - [2012.09.21 12:13:23 | 000,159,296 | ---- | M] (Sophos Limited) -- C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
PRC - [2012.06.03 00:19:33 | 000,053,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\wuauclt.exe
PRC - [2012.02.11 07:41:06 | 000,316,928 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\spoolsv.exe
PRC - [2011.11.17 07:36:26 | 000,022,528 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\lsass.exe
PRC - [2011.05.04 06:52:12 | 000,428,032 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\SearchIndexer.exe
PRC - [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\winlogon.exe
PRC - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Media Player\wmpnetwk.exe
PRC - [2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\wininit.exe
PRC - [2009.07.14 03:14:42 | 000,204,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\servicing\TrustedInstaller.exe
PRC - [2009.07.14 03:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\svchost.exe  [comLaunch]
PRC - [2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\services.exe
PRC - [2009.07.14 03:14:23 | 000,261,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\lsm.exe
PRC - [2009.07.14 03:14:19 | 000,092,672 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\dwm.exe
PRC - [2009.07.14 03:14:16 | 000,006,144 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\csrss.exe
PRC - [2009.04.14 07:43:42 | 000,604,704 | ---- | M] (Realtek Semiconductor Corp.) -- C:\Windows\SOUNDMAN.EXE
PRC - [2003.12.15 00:20:38 | 000,155,648 | ---- | M] (Intel Corporation) -- C:\Windows\System32\igfxtray.exe
PRC - [2003.12.15 00:07:26 | 000,118,784 | ---- | M] (Intel Corporation) -- C:\Windows\System32\hkcmd.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 OTL Extras logfile created on: 03.08.2013 09:21:00 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Turismo\Desktop
 Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,98 Gb Total Physical Memory | 1,24 Gb Available Physical Memory | 62,39% Memory free
3,97 Gb Paging File | 3,04 Gb Available in Paging File | 76,69% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 59,62 Gb Total Space | 22,73 Gb Free Space | 38,13% Space Free | Partition Type: NTFS
 
Computer Name: TURISMO-PC | User Name: Turismo | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (All) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.bat [@ = batfile] -- "%1" %*
.chm [@ = chm.file] -- C:\Windows\hh.exe (Microsoft Corporation)
.cmd [@ = cmdfile] -- "%1" %*
.com [@ = comfile] -- "%1" %*
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.exe [@ = exefile] -- "%1" %*
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.hta [@ = htafile] -- C:\Windows\System32\mshta.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
.inf [@ = inffile] -- C:\Windows\System32\NOTEPAD.EXE (Microsoft Corporation)
.ini [@ = inifile] -- C:\Windows\System32\NOTEPAD.EXE (Microsoft Corporation)
.url [@ = InternetShortcut] -- C:\Windows\System32\rundll32.exe (Microsoft Corporation)
.js [@ = JSFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.jse [@ = JSEFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.pif [@ = piffile] -- "%1" %*
.reg [@ = regfile] -- C:\Windows\regedit.exe (Microsoft Corporation)
.scr [@ = scrfile] -- "%1" /S
.txt [@ = txtfile] -- C:\Windows\System32\NOTEPAD.EXE (Microsoft Corporation)
.vbe [@ = VBEFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.vbs [@ = VBSFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.wsf [@ = WSFFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.wsh [@ = WSHFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
batfile [open] -- "%1" %*
batfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
chm.file [open] -- "%SystemRoot%\hh.exe" %1 (Microsoft Corporation)
cmdfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %*
cmdfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htafile [open] -- C:\Windows\System32\mshta.exe "%1" %* (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" /p %1
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
inffile [open] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
inffile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
inifile [open] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
inifile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
jsfile [edit] -- C:\Windows\System32\Notepad.exe %1 (Microsoft Corporation)
jsfile [open] -- C:\Windows\System32\WScript.exe "%1" %* (Microsoft Corporation)
jsfile [print] -- C:\Windows\System32\Notepad.exe /p %1 (Microsoft Corporation)
jsefile [edit] -- C:\Windows\System32\Notepad.exe %1 (Microsoft Corporation)
jsefile [open] -- C:\Windows\System32\WScript.exe "%1" %* (Microsoft Corporation)
jsefile [print] -- C:\Windows\System32\Notepad.exe /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [edit] -- %SystemRoot%\system32\notepad.exe "%1" (Microsoft Corporation)
regfile [open] -- regedit.exe "%1" (Microsoft Corporation)
regfile [merge] -- Reg Error: Key error.
regfile [print] -- %SystemRoot%\system32\notepad.exe /p "%1" (Microsoft Corporation)
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
txtfile [open] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
txtfile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
txtfile [printto] -- %SystemRoot%\system32\notepad.exe /pt "%1" "%2" "%3" "%4" (Microsoft Corporation)
vbefile [edit] -- "%SystemRoot%\System32\Notepad.exe" %1 (Microsoft Corporation)
vbefile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
vbefile [print] -- "%SystemRoot%\System32\Notepad.exe" /p %1 (Microsoft Corporation)
vbsfile [edit] -- "%SystemRoot%\System32\Notepad.exe" %1 (Microsoft Corporation)
vbsfile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
vbsfile [print] -- "%SystemRoot%\System32\Notepad.exe" /p %1 (Microsoft Corporation)
wsffile [edit] -- "%SystemRoot%\System32\Notepad.exe" %1 (Microsoft Corporation)
wsffile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
wsffile [print] -- "%SystemRoot%\System32\Notepad.exe" /p %1 (Microsoft Corporation)
wshfile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"" =
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{3737D697-83F4-4779-B48F-FE1C26F088CB}" = lport=138 | protocol=17 | dir=in | app=system |
"{4F300A00-0B1E-4EB4-9F05-A1494E7437A5}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{75825A5A-E1D4-44B8-B3CA-3DB05B612611}" = rport=10243 | protocol=6 | dir=out | app=system |
"{7B9B2857-3D41-4E18-A926-25AFAD08A4EB}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{808AABB0-0946-4917-AE38-ADEB9BE89F4E}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{97575865-3523-44CA-866F-AA0C060DD5CA}" = rport=138 | protocol=17 | dir=out | app=system |
"{9D821A06-FA50-4243-B0E9-53A6F44E356F}" = rport=445 | protocol=6 | dir=out | app=system |
"{A50AB18E-570A-47A5-BD96-7BCA87B5C538}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{A7B4EC8A-7492-4E05-AACF-FAB100D410AE}" = rport=139 | protocol=6 | dir=out | app=system |
"{A8D181E4-8C12-4542-8940-899DF6E5BCA1}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{ABB21E31-5256-4A80-980A-61E2B595A98F}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{B0BD7CBD-2F4E-4896-AAB2-D74AF13B9573}" = lport=139 | protocol=6 | dir=in | app=system |
"{B2B01F12-25BE-4A03-A11E-60B50DDE836B}" = lport=10243 | protocol=6 | dir=in | app=system |
"{C2A2C434-E284-43EA-8741-7FE3860CD45E}" = rport=137 | protocol=17 | dir=out | app=system |
"{C799FE23-7A5B-465F-A3B7-ECD534EB854C}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{E1CFBAAF-B0D2-4A89-AB24-83243D8951B7}" = lport=137 | protocol=17 | dir=in | app=system |
"{E8B53D79-1B84-4838-9CAA-4AFBAEB05B62}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{F27F8AB5-A59D-4CD5-A8A1-A4737CDFD352}" = lport=2869 | protocol=6 | dir=in | app=system |
"{F760A9B0-530C-488B-B7F2-2F5B622CB839}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{F8463F90-02CE-4B92-BE19-782359614930}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{F9339AC5-6849-4ECE-9581-C89B0990C39F}" = lport=445 | protocol=6 | dir=in | app=system |
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{016E2900-F520-431C-9332-90CBF7A5981B}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{071BAACC-4813-437C-A6C6-691C3C1A45D3}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{1638ABE6-DB84-4DE1-B12A-EB9611638C5B}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{5E522E9B-978D-4EE1-AE07-1DC46C9C4C40}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{6471DFF0-E946-437E-91A9-A5135C65DDD1}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{7F19417A-DDCA-4CBC-83EB-DDEFF20C4FC6}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{8896CE0C-C26F-44A3-8A80-AAFCFE21700F}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{AC58E4E0-F904-4763-AC29-A4DD2802A090}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{B14B6905-F8E3-410B-B061-5A4AC769FBE1}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{B9558CCB-0F2E-4EB9-A1BF-31DDE8FD6B01}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{BD435E12-C40B-4FFB-AA3E-48909138A208}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{C79335DE-D08E-42A6-B8D9-A5DCAEDF7D1B}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{CAFE9DD2-D9E4-4096-BF7D-71E865FDA07C}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{DAE65A1E-F66A-467A-9D3F-6144CDC29D38}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{DFE75A8F-51F6-4E5B-A3D2-2157D41A7FE3}" = protocol=6 | dir=out | app=system |
"{FB56433E-7B8D-4679-8B67-3692BDB474C4}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"TCP Query User{4BF2BE01-3A4C-451A-A1F6-46B0BB324E76}C:\program files\ibm\spss\statistics\20\jre\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\ibm\spss\statistics\20\jre\bin\javaw.exe |
"UDP Query User{EBFCD78B-6CD6-4D09-9DF6-C62463400187}C:\program files\ibm\spss\statistics\20\jre\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\ibm\spss\statistics\20\jre\bin\javaw.exe |
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{064A929A-4DE8-40CF-A901-BD40C14E4D25}" = PDF Architect
"{15C418EB-7675-42be-B2B3-281952DA014D}" = Sophos AutoUpdate
"{2AF8017B-E503-408F-AACE-8A335452CAD2}" = IBM SPSS Statistics 20
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{9275F3B0-0FAC-4A40-9589-E2394FDF169A}" = Omnion
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9ACB414D-9347-40B6-A453-5EFB2DB59DFA}" = Sophos Anti-Virus
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"InstallShield_{9275F3B0-0FAC-4A40-9589-E2394FDF169A}" = Omnion
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 21.0 (x86 de)" = Mozilla Firefox 21.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"ShadowExplorer_is1" = ShadowExplorer 0.9
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 02.08.2013 13:53:23 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:26 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:29 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:31 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:31 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:32 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:32 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:33 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:36 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
Error - 02.08.2013 13:53:38 | Computer Name = Turismo-PC | Source = .NET Runtime Optimization Service | ID = 1101
Description =
 
[ System Events ]
Error - 03.08.2013 04:36:28 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...7ae-04046e6cc752}] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess System, (Überprüfung des Zeitstempels
 [ 1ce90248c5ca6d6]). 
 
Error - 03.08.2013 04:36:28 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...7ae-04046e6cc752}] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess System, (Überprüfung des Zeitstempels
 [ 1ce90248c616b8a]). 
 
Error - 03.08.2013 04:36:28 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...7ae-04046e6cc752}] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess System, (Überprüfung des Zeitstempels
 [ 1ce90248c616b8a]). 
 
Error - 03.08.2013 04:36:28 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...7ae-04046e6cc752}] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess System, (Überprüfung des Zeitstempels
 [ 1ce90248c689298]). 
 
Error - 03.08.2013 04:36:53 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...Windows.Forms.dll] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels
 [ 1ce90249a73ecc0]). 
 
Error - 03.08.2013 04:36:57 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...ctoryServices.dll] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels
 [ 1ce90249c617386]). 
 
Error - 03.08.2013 04:36:58 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...\system32\mrt.exe] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels
 [ 1ce90249ddc896c]). 
 
Error - 03.08.2013 04:37:14 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...rviceModelReg.exe] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels
 [ 1ce9024a6dba908]). 
 
Error - 03.08.2013 04:37:49 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [...\System.AddIn.dll] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels
 [ 1ce9024bc4c0e54]). 
 
Error - 03.08.2013 04:37:50 | Computer Name = Turismo-PC | Source = SAVOnAccess | ID = 3997781
Description =  Der Scan von Datei [....30319\System.dll] wurde nach einer Zeitüberschreitung/Auslastung
 durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels
 [ 1ce9024bc6fd19a]). 
 
 
< End of report >
--- --- ---

--- --- ---

M-K-D-B 04.08.2013 10:36
:hallo:


Ich bin mir nicht ganz sicher, welche Art von Hilfe du wünschst.

Möchtest du deinen Rechner auf Malware überprüfen lassen? Wenn ja, dann bist du hier im falschen Unterforum.

Oder soll jemand einen Blick auf deinen Rechner werfen, um zu sehen, warum dein Rechner überlastet ist, d. h. z. B. aufgrund veralteter Software, Hardware, etc? Wenn ja, dann bist du hier richtig.

Über eine kurze Rückmeldung würde ich mich freuen. :)

Turismo 04.08.2013 14:27
:dankeschoen: M-K-D-B,

laut Antimalware (s.u.) scheint es keine Infektion zu geben. Ich hatte gehofft, dass jemand mit der OTL LOG was entdecken kann, bzw. mir sagen kann wie ich das Problem mit CUstom/Fix am besten löse.

Beste Grüße,

Turismo

M-K-D-B 05.08.2013 13:34
Servus,



ok, wir sehen uns deinen Rechner mal an:




Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


Turismo 05.08.2013 14:08
Moin M-K-D-B,

anbei die gewünschten Dateien, vielen Dank!


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 04-08-2013 01
Ran by Turismo (administrator) on 05-08-2013 14:54:10
Running from C:\Users\Turismo\Desktop
Microsoft Windows 7 Professional  (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
(pdfforge GmbH) C:\Program Files\PDF Architect\HelperService.exe
(pdfforge GmbH) C:\Program Files\PDF Architect\ConversionService.exe
(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(www.shadowexplorer.com) C:\Program Files\ShadowExplorer\sesvc.exe
(Sophos Limited) C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(Realtek Semiconductor Corp.) C:\Windows\SOUNDMAN.EXE
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Sophos Limited) C:\Program Files\Sophos\AutoUpdate\ALMon.exe
(Realtek Semiconductor Corp.) C:\Users\Turismo\AppData\Local\Temp\RtkBtMnt.EXE
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(Sophos Limited) C:\ProgramData\Sophos\AutoUpdate\cache\sophos_autoupdate1.dir\alupdate.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SoundMan] - C:\Windows\SOUNDMAN.EXE [604704 2009-04-14] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Sophos AutoUpdate Monitor] - C:\Program Files\Sophos\AutoUpdate\almon.exe [929272 2013-01-11] (Sophos Limited)
Winlogon\Notify\igfxcui: igfxsrvc.dll (Intel Corporation)
HKCU\...\Policies\system: [LogonHoursAction] 2
HKCU\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\Fränzy\...\Policies\system: [LogonHoursAction] 2
HKU\Fränzy\...\Policies\system: [DontDisplayLogonHoursWarnings] 1

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE
SearchScopes: HKCU - {7394E585-BE52-41CE-8844-AC9BCE5955CB} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=2ba1aa60-e7b9-4f47-85aa-061a171a25bc&apn_sauid=A96BA9E7-8EED-4BCF-92CF-8528F0C0F7CF
BHO: PDF Architect Helper - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Program Files\PDF Architect\PDFIEHelper.dll (pdfforge GmbH)
Toolbar: HKLM - PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files\PDF Architect\PDFIEPlugin.dll (pdfforge GmbH)
Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Handler: msdaipp - No CLSID Value -
Winsock: Catalog9 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default
FF SelectedSearchEngine: LEO Eng-Deu
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] C:\Program Files\PDF Architect\FFPDFArchitectExt
FF Extension: PDF Architect Converter For Firefox - C:\Program Files\PDF Architect\FFPDFArchitectExt

========================== Services (Whitelisted) =================

R2 PDF Architect Helper Service; C:\Program Files\PDF Architect\HelperService.exe [1320496 2013-04-08] (pdfforge GmbH)
R2 PDF Architect Service; C:\Program Files\PDF Architect\ConversionService.exe [799280 2013-04-08] (pdfforge GmbH)
R2 SAVAdminService; C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [217592 2013-01-11] (Sophos Limited)
R2 SAVService; C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe [159296 2012-09-21] (Sophos Limited)
R2 sesvc; C:\Program Files\ShadowExplorer\sesvc.exe [9216 2013-01-02] (www.shadowexplorer.com)
R2 Sophos AutoUpdate Service; C:\Program Files\Sophos\AutoUpdate\ALsvc.exe [237048 2013-01-11] (Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [357400 2012-11-12] (Sophos Limited)
R2 swi_service; C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [2890232 2013-02-04] (Sophos Limited)
S2 swi_update; C:\ProgramData\Sophos\Web Intelligence\swi_update.exe [1468920 2013-02-04] (Sophos Limited)

==================== Drivers (Whitelisted) ====================

R3 ALCXWDM; C:\Windows\System32\drivers\RTKVAC.SYS [4172832 2009-06-18] (Realtek Semiconductor Corp.)
R3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [95579 2003-12-16] (Intel Corporation)
R1 SAVOnAccess; C:\Windows\System32\DRIVERS\savonaccess.sys [132424 2012-09-21] (Sophos Limited)
S3 sdcfilter; C:\Windows\System32\DRIVERS\sdcfilter.sys [33696 2012-08-14] (Sophos Limited)
R1 SKMScan; C:\Windows\System32\DRIVERS\skmscan.sys [33096 2012-10-23] (Sophos Limited)
S4 SophosBootDriver; C:\Windows\System32\DRIVERS\SophosBootDriver.sys [22536 2012-08-14] (Sophos Plc)
S3 vga; C:\Windows\System32\DRIVERS\vgapnp.sys [26112 2013-05-31] ()
R3 {6080A529-897E-4629-A488-ABA0C29B635E}; C:\Windows\System32\drivers\ialmsbw.sys [122942 2003-12-16] (Intel Corporation)
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91}; C:\Windows\System32\drivers\ialmkchw.sys [99002 2003-12-16] (Intel Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-05 14:53 - 2013-08-05 14:53 - 00000000 ____D C:\FRST
2013-08-05 14:52 - 2013-08-05 14:48 - 01228856 _____ (Farbar) C:\Users\Turismo\Desktop\FRST.exe
2013-08-04 18:02 - 2013-08-04 18:02 - 00000000 ____D C:\Windows\system32\SPReview
2013-08-04 17:21 - 2013-08-04 17:23 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-02 23:24 - 2013-08-02 23:24 - 00000000 ____D C:\06315ca168b2087ef339773d37c122
2013-08-02 23:11 - 2013-08-02 23:11 - 01067456 _____ (Solid State Networks) C:\Users\Turismo\Downloads\install_flashplayer11x32au_mssd_aaa_aih.exe
2013-08-02 19:57 - 2013-08-02 19:57 - 00000000 ____D C:\Users\Turismo\AppData\Roaming\Malwarebytes
2013-08-02 19:56 - 2013-08-02 19:57 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-02 19:56 - 2013-08-02 19:56 - 00001069 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-02 19:56 - 2013-08-02 19:56 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-02 19:56 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-07-16 22:14 - 2013-07-16 22:14 - 00000000 ____D C:\cf1cae5634968a4101e4c1850f493e20
2013-07-16 22:10 - 2013-08-04 17:20 - 00007626 _____ C:\Users\Turismo\AppData\Local\Resmon.ResmonCfg
2013-07-15 10:22 - 2013-07-15 10:22 - 00000000 ____D C:\5b3337c258ed0feb73271108

==================== One Month Modified Files and Folders =======

2013-08-05 14:56 - 2009-07-14 06:34 - 00018624 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-05 14:56 - 2009-07-14 06:34 - 00018624 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-05 14:53 - 2013-08-05 14:53 - 00000000 ____D C:\FRST
2013-08-05 14:48 - 2013-08-05 14:52 - 01228856 _____ (Farbar) C:\Users\Turismo\Desktop\FRST.exe
2013-08-05 14:47 - 2013-05-20 16:10 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-08-05 14:47 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-05 14:47 - 2009-07-14 06:39 - 00020219 _____ C:\Windows\setupact.log
2013-08-04 18:06 - 2013-05-20 11:09 - 01772766 _____ C:\Windows\WindowsUpdate.log
2013-08-04 18:06 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-04 18:02 - 2013-08-04 18:02 - 00000000 ____D C:\Windows\system32\SPReview
2013-08-04 18:02 - 2013-05-20 17:37 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-04 17:54 - 2013-05-20 11:24 - 01533550 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-04 17:23 - 2013-08-04 17:21 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-04 17:20 - 2013-07-16 22:10 - 00007626 _____ C:\Users\Turismo\AppData\Local\Resmon.ResmonCfg
2013-08-04 16:48 - 2013-05-20 16:42 - 00094070 _____ C:\Windows\PFRO.log
2013-08-04 16:02 - 2013-05-29 21:25 - 00000000 ____D C:\Program Files\Microsoft Office
2013-08-04 16:02 - 2009-07-14 04:37 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2013-08-02 23:24 - 2013-08-02 23:24 - 00000000 ____D C:\06315ca168b2087ef339773d37c122
2013-08-02 23:11 - 2013-08-02 23:11 - 01067456 _____ (Solid State Networks) C:\Users\Turismo\Downloads\install_flashplayer11x32au_mssd_aaa_aih.exe
2013-08-02 19:57 - 2013-08-02 19:57 - 00000000 ____D C:\Users\Turismo\AppData\Roaming\Malwarebytes
2013-08-02 19:57 - 2013-08-02 19:56 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-02 19:56 - 2013-08-02 19:56 - 00001069 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-02 19:56 - 2013-08-02 19:56 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-07-16 22:14 - 2013-07-16 22:14 - 00000000 ____D C:\cf1cae5634968a4101e4c1850f493e20
2013-07-15 10:22 - 2013-07-15 10:22 - 00000000 ____D C:\5b3337c258ed0feb73271108

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2013-05-29 20:30] - [2012-09-06 18:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E



LastRegBack: 2013-08-03 11:35

==================== End Of Log ============================
--- --- ---



Code:
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 04-08-2013 01
Ran by Turismo at 2013-08-05 14:59:20
Running from C:\Users\Turismo\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Adobe Flash Player 11 Plugin (Version: 11.7.700.224)
Compatibility Pack für 2007 Office System (Version: 12.0.6021.5000)
IBM SPSS Statistics 20 (Version: 20.0.0.0)
Intel(R) Extreme Graphics 2 Driver
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Office Professional Edition 2003 (Version: 11.0.8173.0)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 22.0 (x86 de) (Version: 22.0)
Mozilla Maintenance Service (Version: 22.0)
Omnion (Version: 3.0.2222)
PDF Architect (Version: 1.1.83.9982)
Realtek AC'97 Audio
Realtek High Definition Audio Driver (Version: 6.0.1.6873)
ShadowExplorer 0.9 (Version: 0.9.462.0)
Sophos Anti-Virus (Version: 10.2.8)
Sophos AutoUpdate (Version: 2.9.0.344)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
 

==================== Restore Points  =========================

04-08-2013 16:02:16 Windows 7 Service Pack 1

==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {030436D4-FBE3-4453-9CC8-797B2C22BDCE} - System32\Tasks\Microsoft\Windows\MUI\Lpksetup => C:\Windows\System32\lpksetup.exe [2009-07-14] (Microsoft Corporation)
Task: {04008531-ABDE-43E4-A7EE-0CDD0BA4FF8B} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => c:\program files\windows defender\MpCmdRun.exe [2009-07-14] (Microsoft Corporation)
Task: {1F8FB6AB-32C1-45EB-AFAF-EA443FCFD98C} - System32\Tasks\WPD\SqmUpload_S-1-5-21-3201231315-3688136295-323408864-1004 => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation)
Task: {7CF19260-9C40-4E02-9AF3-544C6B879344} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-20] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Faulty Device Manager Devices =============

Name: PCI-Modem
Description: PCI-Modem
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (08/04/2013 01:01:18 PM) (Source: MsiInstaller) (User: NT-AUTORITÄT)
Description: Produkt: Microsoft .NET Framework 4 Client Profile - Update "KB2604121" konnte nicht installiert werden. Fehlercode 1603. Weitere Informationen sind in der Protokolldatei C:\Windows\TEMP\KB2604121_20130804_125404996-Microsoft .NET Framework 4 Client Profile-MSP0.txt enthalten.

Error: (08/04/2013 01:01:06 PM) (Source: MsiInstaller) (User: NT-AUTORITÄT)
Description: Produkt: Microsoft .NET Framework 4 Client Profile -- Fehler 1921. Der Dienst Microsoft .NET Framework NGEN v4.0.30319_X86 (clr_optimization_v4.0.30319_32) konnte nicht beendet werden. Überprüfen Sie, ob Sie ausreichende Berechtigungen zum Beenden von Systemdiensten besitzen.

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "MSDTC Bridge 4.0.0.0" (MSDTC Bridge 4.0.0.0). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "SMSvcHost 4.0.0.0" (SMSvcHost 4.0.0.0). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:56:01 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:33:51 AM) (Source: MsiInstaller) (User: NT-AUTORITÄT)
Description: Produkt: Microsoft Fix it 50735 -- Fehler 1704. Eine Installation von Microsoft .NET Framework 4 Client Profile wurde unterbrochen. Sie müssen die von dieser Installation vorgenommenen Änderungen rückgängig machen, bevor Sie den Vorgang fortsetzen können. Möchten Sie diese Änderungen rückgängig machen?

Error: (08/02/2013 07:53:38 PM) (Source: .NET Runtime Optimization Service) (User: )
Description: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.SqlXml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06


System errors:
=============
Error: (08/04/2013 06:06:17 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x8024200d fehlgeschlagen: Windows 7 Service Pack 1 (KB976932)

Error: (08/04/2013 04:51:22 PM) (Source: WMPNetworkSvc) (User: )
Description: WMPNetworkSvc0x80004005

Error: (08/04/2013 01:27:04 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x8024200d fehlgeschlagen: Windows 7 Service Pack 1 (KB976932)

Error: (08/04/2013 01:01:33 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (User: NT-AUTORITÄT)
Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80070643 fehlgeschlagen: Sicherheitsupdate für Microsoft .NET Framework 4 unter Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows Server 2008 x86 (KB2604121)

Error: (08/04/2013 11:33:03 AM) (Source: bowser) (User: )
Description: Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "IOD",
der der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{45F0E70A-783C-4D6F-9E51-8A01A7C6C739}-Transport zu sein scheint.
Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.

Error: (08/04/2013 11:30:54 AM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Wlansvc erreicht.

Error: (08/03/2013 05:36:12 PM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst PlugPlay erreicht.

Error: (08/03/2013 05:36:12 PM) (Source: Service Control Manager) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst ShellHWDetection erreicht.

Error: (08/03/2013 10:37:50 AM) (Source: SAVOnAccess) (User: )
Description: Der Scan von Datei [....30319\System.dll] wurde nach einer Zeitüberschreitung/Auslastung durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels [ 1ce9024bc6fd19a]).

Error: (08/03/2013 10:37:49 AM) (Source: SAVOnAccess) (User: )
Description: Der Scan von Datei [...\System.AddIn.dll] wurde nach einer Zeitüberschreitung/Auslastung durchgeführt. Sie wird protokolliert. Prozess svchost.exe, (Überprüfung des Zeitstempels [ 1ce9024bc4c0e54]).


Microsoft Office Sessions:
=========================
Error: (08/04/2013 01:01:18 PM) (Source: MsiInstaller)(User: NT-AUTORITÄT)
Description: Microsoft .NET Framework 4 Client ProfileKB26041211603C:\Windows\TEMP\KB2604121_20130804_125404996-Microsoft .NET Framework 4 Client Profile-MSP0.txt(NULL)(NULL)

Error: (08/04/2013 01:01:06 PM) (Source: MsiInstaller)(User: NT-AUTORITÄT)
Description: Produkt: Microsoft .NET Framework 4 Client Profile -- Fehler 1921. Der Dienst Microsoft .NET Framework NGEN v4.0.30319_X86 (clr_optimization_v4.0.30319_32) konnte nicht beendet werden. Überprüfen Sie, ob Sie ausreichende Berechtigungen zum Beenden von Systemdiensten besitzen.(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: MSDTC Bridge 4.0.0.0MSDTC Bridge 4.0.0.08F20300004D070000

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: SMSvcHost 4.0.0.0SMSvcHost 4.0.0.08F20300004D070000

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:56:01 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:33:51 AM) (Source: MsiInstaller)(User: NT-AUTORITÄT)
Description: Produkt: Microsoft Fix it 50735 -- Fehler 1704. Eine Installation von Microsoft .NET Framework 4 Client Profile wurde unterbrochen. Sie müssen die von dieser Installation vorgenommenen Änderungen rückgängig machen, bevor Sie den Vorgang fortsetzen können. Möchten Sie diese Änderungen rückgängig machen?(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (08/02/2013 07:53:38 PM) (Source: .NET Runtime Optimization Service)(User: )
Description: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.SqlXml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06
System.Data.SqlXml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089


==================== Memory info ===========================

Percentage of memory in use: 41%
Total physical RAM: 2031.55 MB
Available physical RAM: 1189.73 MB
Total Pagefile: 4063.11 MB
Available Pagefile: 3098.84 MB
Total Virtual: 2047.88 MB
Available Virtual: 1906.76 MB

==================== Drives ================================

Drive c: (C:) (Fixed) (Total:59.62 GB) (Free:22.82 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 60 GB) (Disk ID: 0D1A0D19)
Partition 1: (Active) - (Size=60 GB) - (Type=07 NTFS)

==================== End Of Log ============================

M-K-D-B 05.08.2013 14:24
Servus,





Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Turismo 06.08.2013 07:29
Moin,

Combofix ist durchgelaufen aber auf mein Desktop oder unter C: kann ich keine Combofix.txt Datei finden...

M-K-D-B 06.08.2013 13:29
Servus,


führe ComboFix bitte nochmal aus, evtl. klappts dann. :)

Turismo 10.08.2013 04:54
Moin,

Combofix ist mehrmals durchgelaufen ohne auf dem Desktop oder unter C: Windows/erdnt/Hiv-Backup eine Combofix.txt Datei zu hinterlassen...

M-K-D-B 10.08.2013 09:15
Servus,


ok, FRST nochmal:




Kontrollscan mit FRST
Führe wie zuvor beschrieben einen Scan mit FRST aus.
Setze dazu eine Haken bei Addition.txt rechts unten und klicke auf Scan.
Es werden wieder zwei Logdateien erzeugt. Poste mir diese.

Turismo 10.08.2013 10:54
MOin,

anbei die gewünschten Logs!


FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-08-2013
Ran by Turismo (administrator) on 10-08-2013 11:44:46
Running from C:\Users\Turismo\Desktop
Microsoft Windows 7 Professional  (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
(pdfforge GmbH) C:\Program Files\PDF Architect\HelperService.exe
(pdfforge GmbH) C:\Program Files\PDF Architect\ConversionService.exe
(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(www.shadowexplorer.com) C:\Program Files\ShadowExplorer\sesvc.exe
(Sophos Limited) C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(Sophos Limited) C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(Realtek Semiconductor Corp.) C:\Windows\SOUNDMAN.EXE
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Sophos Limited) C:\Program Files\Sophos\AutoUpdate\ALMon.exe
(Realtek Semiconductor Corp.) C:\Users\Turismo\AppData\Local\Temp\RtkBtMnt.EXE
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(Sophos Limited) C:\ProgramData\Sophos\AutoUpdate\cache\sophos_autoupdate1.dir\alupdate.exe
(Farbar) C:\Users\Turismo\Desktop\FRST(1).exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SoundMan] - C:\Windows\SOUNDMAN.EXE [604704 2009-04-14] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Sophos AutoUpdate Monitor] - C:\Program Files\Sophos\AutoUpdate\almon.exe [929272 2013-01-11] (Sophos Limited)
Winlogon\Notify\igfxcui: igfxsrvc.dll (Intel Corporation)
HKCU\...\Policies\system: [LogonHoursAction] 2
HKCU\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\Fränzy\...\Policies\system: [LogonHoursAction] 2
HKU\Fränzy\...\Policies\system: [DontDisplayLogonHoursWarnings] 1

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.zonealarm.com/?src=hp&tbid=Solo&Lan=&gu=04381aa0ee0f4eef84e5fae6b9089623&tu=11Ih0009S1B0001&sku=&tstsId=&ver=&
SearchScopes: HKCU - DefaultScope {648C7B40-DCD0-4BF7-9E0A-3A42F655638C} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=Solo&Lan=&q={searchTerms}&gu=04381aa0ee0f4eef84e5fae6b9089623&tu=11Ih0009S1B0001&sku=&tstsId=&ver=&&r=750
SearchScopes: HKCU - {648C7B40-DCD0-4BF7-9E0A-3A42F655638C} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=Solo&Lan=&q={searchTerms}&gu=04381aa0ee0f4eef84e5fae6b9089623&tu=11Ih0009S1B0001&sku=&tstsId=&ver=&&r=750
SearchScopes: HKCU - {7394E585-BE52-41CE-8844-AC9BCE5955CB} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=2ba1aa60-e7b9-4f47-85aa-061a171a25bc&apn_sauid=A96BA9E7-8EED-4BCF-92CF-8528F0C0F7CF
BHO: Zonealarm Helper Object - {2A841F7A-A014-4DA5-B6D9-8B913DFB7A8C} - C:\Program Files\Check Point Software Technologies LTD\zonealarm\1.8.11.11\bh\zonealarm.dll (Check Point Software Technologies LTD)
BHO: PDF Architect Helper - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Program Files\PDF Architect\PDFIEHelper.dll (pdfforge GmbH)
Toolbar: HKLM - PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files\PDF Architect\PDFIEPlugin.dll (pdfforge GmbH)
Toolbar: HKLM - ZoneAlarm Security Toolbar - {438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59} - C:\Program Files\Check Point Software Technologies LTD\zonealarm\1.8.11.11\zonealarmTlbr.dll (Check Point Software Technologies LTD)
Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Handler: msdaipp - No CLSID Value -
Winsock: Catalog9 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Winsock: Catalog9 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [88128] (Sophos Limited)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default
FF user.js: detected! => C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default\user.js
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF SearchPlugin: C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default\searchplugins\zonealarm.xml
FF Extension: No Name - C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default\Extensions\staged
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] C:\Program Files\PDF Architect\FFPDFArchitectExt
FF Extension: PDF Architect Converter For Firefox - C:\Program Files\PDF Architect\FFPDFArchitectExt

========================== Services (Whitelisted) =================

R2 PDF Architect Helper Service; C:\Program Files\PDF Architect\HelperService.exe [1320496 2013-04-08] (pdfforge GmbH)
R2 PDF Architect Service; C:\Program Files\PDF Architect\ConversionService.exe [799280 2013-04-08] (pdfforge GmbH)
R2 SAVAdminService; C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [217592 2013-01-11] (Sophos Limited)
R2 SAVService; C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe [159296 2012-09-21] (Sophos Limited)
R2 sesvc; C:\Program Files\ShadowExplorer\sesvc.exe [9216 2013-01-02] (www.shadowexplorer.com)
R2 Sophos AutoUpdate Service; C:\Program Files\Sophos\AutoUpdate\ALsvc.exe [237048 2013-01-11] (Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [357400 2012-11-12] (Sophos Limited)
R2 swi_service; C:\Program Files\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [2890232 2013-02-04] (Sophos Limited)
S2 swi_update; C:\ProgramData\Sophos\Web Intelligence\swi_update.exe [1468920 2013-02-04] (Sophos Limited)

==================== Drivers (Whitelisted) ====================

R3 ALCXWDM; C:\Windows\System32\drivers\RTKVAC.SYS [4172832 2009-06-18] (Realtek Semiconductor Corp.)
R3 ialm; C:\Windows\System32\DRIVERS\ialmnt5.sys [95579 2003-12-16] (Intel Corporation)
R1 SAVOnAccess; C:\Windows\System32\DRIVERS\savonaccess.sys [132424 2012-09-21] (Sophos Limited)
S3 sdcfilter; C:\Windows\System32\DRIVERS\sdcfilter.sys [33696 2012-08-14] (Sophos Limited)
R1 SKMScan; C:\Windows\System32\DRIVERS\skmscan.sys [33096 2012-10-23] (Sophos Limited)
S4 SophosBootDriver; C:\Windows\System32\DRIVERS\SophosBootDriver.sys [22536 2012-08-14] (Sophos Plc)
S3 vga; C:\Windows\System32\DRIVERS\vgapnp.sys [26112 2013-05-31] ()
R3 {6080A529-897E-4629-A488-ABA0C29B635E}; C:\Windows\System32\drivers\ialmsbw.sys [122942 2003-12-16] (Intel Corporation)
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91}; C:\Windows\System32\drivers\ialmkchw.sys [99002 2003-12-16] (Intel Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-10 05:46 - 2013-08-10 05:46 - 00000000 ____D C:\Qoobox
2013-08-10 05:44 - 2013-08-10 05:46 - 00000000 ___SD C:\32788R22FWJFW
2013-08-10 05:12 - 2013-08-10 05:12 - 00000000 ____D C:\Program Files\CheckPoint
2013-08-10 05:10 - 2013-08-10 05:10 - 00000000 ____D C:\Program Files\Check Point Software Technologies LTD
2013-08-10 05:09 - 2013-08-10 05:09 - 00000000 ____D C:\ProgramData\CheckPoint
2013-08-10 05:06 - 2013-08-10 05:08 - 05102523 ____R (Swearware) C:\Users\Turismo\Desktop\ComboFix.exe
2013-08-06 08:15 - 2013-08-06 08:15 - 00000000 ____D C:\Windows\erdnt
2013-08-05 14:53 - 2013-08-05 14:53 - 00000000 ____D C:\FRST
2013-08-04 18:02 - 2013-08-04 18:02 - 00000000 ____D C:\Windows\system32\SPReview
2013-08-04 17:21 - 2013-08-04 17:23 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-02 23:24 - 2013-08-02 23:24 - 00000000 ____D C:\06315ca168b2087ef339773d37c122
2013-08-02 23:11 - 2013-08-02 23:11 - 01067456 _____ (Solid State Networks) C:\Users\Turismo\Downloads\install_flashplayer11x32au_mssd_aaa_aih.exe
2013-08-02 19:57 - 2013-08-02 19:57 - 00000000 ____D C:\Users\Turismo\AppData\Roaming\Malwarebytes
2013-08-02 19:56 - 2013-08-02 19:57 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-02 19:56 - 2013-08-02 19:56 - 00001069 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-02 19:56 - 2013-08-02 19:56 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-08-02 19:56 - 2013-04-04 14:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2013-07-16 22:14 - 2013-07-16 22:14 - 00000000 ____D C:\cf1cae5634968a4101e4c1850f493e20
2013-07-16 22:10 - 2013-08-04 17:20 - 00007626 _____ C:\Users\Turismo\AppData\Local\Resmon.ResmonCfg
2013-07-15 10:22 - 2013-07-15 10:22 - 00000000 ____D C:\5b3337c258ed0feb73271108

==================== One Month Modified Files and Folders =======

2013-08-10 11:45 - 2009-07-14 06:34 - 00018624 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-10 11:45 - 2009-07-14 06:34 - 00018624 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-10 11:41 - 2013-08-10 11:44 - 01230570 _____ (Farbar) C:\Users\Turismo\Desktop\FRST(1).exe
2013-08-10 11:37 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-10 11:36 - 2009-07-14 06:39 - 00020667 _____ C:\Windows\setupact.log
2013-08-10 05:57 - 2013-05-20 11:09 - 01901378 _____ C:\Windows\WindowsUpdate.log
2013-08-10 05:46 - 2013-08-10 05:46 - 00000000 ____D C:\Qoobox
2013-08-10 05:46 - 2013-08-10 05:44 - 00000000 ___SD C:\32788R22FWJFW
2013-08-10 05:41 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-10 05:12 - 2013-08-10 05:12 - 00000000 ____D C:\Program Files\CheckPoint
2013-08-10 05:10 - 2013-08-10 05:10 - 00000000 ____D C:\Program Files\Check Point Software Technologies LTD
2013-08-10 05:09 - 2013-08-10 05:09 - 00000000 ____D C:\ProgramData\CheckPoint
2013-08-10 05:08 - 2013-08-10 05:06 - 05102523 ____R (Swearware) C:\Users\Turismo\Desktop\ComboFix.exe
2013-08-10 05:03 - 2009-07-14 04:37 - 00000000 ___RD C:\Users\Public
2013-08-10 05:02 - 2013-05-20 17:37 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-06 08:15 - 2013-08-06 08:15 - 00000000 ____D C:\Windows\erdnt
2013-08-05 14:53 - 2013-08-05 14:53 - 00000000 ____D C:\FRST
2013-08-05 14:47 - 2013-05-20 16:10 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-08-04 18:02 - 2013-08-04 18:02 - 00000000 ____D C:\Windows\system32\SPReview
2013-08-04 17:54 - 2013-05-20 11:24 - 01533550 _____ C:\Windows\system32\PerfStringBackup.INI
2013-08-04 17:23 - 2013-08-04 17:21 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-04 17:20 - 2013-07-16 22:10 - 00007626 _____ C:\Users\Turismo\AppData\Local\Resmon.ResmonCfg
2013-08-04 16:02 - 2013-05-29 21:25 - 00000000 ____D C:\Program Files\Microsoft Office
2013-08-04 16:02 - 2009-07-14 04:37 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2013-08-02 23:24 - 2013-08-02 23:24 - 00000000 ____D C:\06315ca168b2087ef339773d37c122
2013-08-02 23:11 - 2013-08-02 23:11 - 01067456 _____ (Solid State Networks) C:\Users\Turismo\Downloads\install_flashplayer11x32au_mssd_aaa_aih.exe
2013-08-02 19:57 - 2013-08-02 19:57 - 00000000 ____D C:\Users\Turismo\AppData\Roaming\Malwarebytes
2013-08-02 19:57 - 2013-08-02 19:56 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-08-02 19:56 - 2013-08-02 19:56 - 00001069 _____ C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-08-02 19:56 - 2013-08-02 19:56 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-07-16 22:14 - 2013-07-16 22:14 - 00000000 ____D C:\cf1cae5634968a4101e4c1850f493e20
2013-07-15 10:22 - 2013-07-15 10:22 - 00000000 ____D C:\5b3337c258ed0feb73271108

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2013-05-29 20:30] - [2012-09-06 18:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E



LastRegBack: 2013-08-03 11:35

==================== End Of Log ============================
--- --- ---





Code:
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 09-08-2013
Ran by Turismo at 2013-08-10 11:49:12
Running from C:\Users\Turismo\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Adobe Flash Player 11 Plugin (Version: 11.7.700.224)
Compatibility Pack für 2007 Office System (Version: 12.0.6021.5000)
IBM SPSS Statistics 20 (Version: 20.0.0.0)
Intel(R) Extreme Graphics 2 Driver
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Office Professional Edition 2003 (Version: 11.0.8173.0)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 22.0 (x86 de) (Version: 22.0)
Mozilla Maintenance Service (Version: 22.0)
Omnion (Version: 3.0.2222)
PDF Architect (Version: 1.1.83.9982)
Realtek AC'97 Audio
Realtek High Definition Audio Driver (Version: 6.0.1.6873)
ShadowExplorer 0.9 (Version: 0.9.462.0)
Sophos Anti-Virus (Version: 10.2.8)
Sophos AutoUpdate (Version: 2.9.0.344)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
ZoneAlarm Security Toolbar on IE and Chrome (Version: 1.8.11.11)
 

==================== Restore Points  =========================

04-08-2013 16:02:16 Windows 7 Service Pack 1
10-08-2013 03:50:07 Windows Update

==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {030436D4-FBE3-4453-9CC8-797B2C22BDCE} - System32\Tasks\Microsoft\Windows\MUI\Lpksetup => C:\Windows\System32\lpksetup.exe [2009-07-14] (Microsoft Corporation)
Task: {1F8FB6AB-32C1-45EB-AFAF-EA443FCFD98C} - System32\Tasks\WPD\SqmUpload_S-1-5-21-3201231315-3688136295-323408864-1004 => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation)
Task: {7CF19260-9C40-4E02-9AF3-544C6B879344} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-20] (Adobe Systems Incorporated)
Task: {DA215B07-130D-4978-AF67-79983BFED328} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => c:\program files\windows defender\MpCmdRun.exe [2009-07-14] (Microsoft Corporation)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Faulty Device Manager Devices =============

Name: PCI-Modem
Description: PCI-Modem
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (08/07/2013 09:56:14 AM) (Source: Application Hang) (User: )
Description: Programm iexplore.exe, Version 9.0.8112.16483 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: fec

Startzeit: 01ce9342c9d325c3

Endzeit: 78

Anwendungspfad: C:\Program Files\Internet Explorer\iexplore.exe

Berichts-ID:

Error: (08/04/2013 01:01:18 PM) (Source: MsiInstaller) (User: NT-AUTORITÄT)
Description: Produkt: Microsoft .NET Framework 4 Client Profile - Update "KB2604121" konnte nicht installiert werden. Fehlercode 1603. Weitere Informationen sind in der Protokolldatei C:\Windows\TEMP\KB2604121_20130804_125404996-Microsoft .NET Framework 4 Client Profile-MSP0.txt enthalten.

Error: (08/04/2013 01:01:06 PM) (Source: MsiInstaller) (User: NT-AUTORITÄT)
Description: Produkt: Microsoft .NET Framework 4 Client Profile -- Fehler 1921. Der Dienst Microsoft .NET Framework NGEN v4.0.30319_X86 (clr_optimization_v4.0.30319_32) konnte nicht beendet werden. Überprüfen Sie, ob Sie ausreichende Berechtigungen zum Beenden von Systemdiensten besitzen.

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "MSDTC Bridge 4.0.0.0" (MSDTC Bridge 4.0.0.0). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "SMSvcHost 4.0.0.0" (SMSvcHost 4.0.0.0). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:56:01 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Namenszeichenfolgenwert für den Leistungsindikator in der Registrierung ist falsch formatiert. Die falsch formatierte Zeichenfolge ist "6612". Das erste DWORD im Datenbereich enthält den Indexwert für die falsch formatierte Zeichenfolge, während das zweite und dritte DWORD im Datenbereich die letzten gültigen Indexwerte enthalten.

Error: (08/04/2013 11:33:51 AM) (Source: MsiInstaller) (User: NT-AUTORITÄT)
Description: Produkt: Microsoft Fix it 50735 -- Fehler 1704. Eine Installation von Microsoft .NET Framework 4 Client Profile wurde unterbrochen. Sie müssen die von dieser Installation vorgenommenen Änderungen rückgängig machen, bevor Sie den Vorgang fortsetzen können. Möchten Sie diese Änderungen rückgängig machen?


System errors:
=============
Error: (08/10/2013 11:36:52 AM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎10.‎08.‎2013 um 06:39:38 unerwartet heruntergefahren.

Error: (08/10/2013 06:00:06 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für ein prozessübergreifendes Threaderstellungsereignis.

Error: (08/10/2013 06:00:05 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für Löschung des Prozesses VSSVC.exe.

Error: (08/10/2013 06:00:02 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für Löschung des Prozesses swi_service.ex.

Error: (08/10/2013 06:00:02 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für Löschung des Prozesses svchost.exe.

Error: (08/10/2013 06:00:01 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für ein prozessübergreifendes Threaderstellungsereignis.

Error: (08/10/2013 06:00:01 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für ein prozessübergreifendes Threaderstellungsereignis.

Error: (08/10/2013 06:00:01 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für ein prozessübergreifendes Threaderstellungsereignis.

Error: (08/10/2013 06:00:01 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für ein prozessübergreifendes Threaderstellungsereignis.

Error: (08/10/2013 06:00:01 AM) (Source: SAVOnAccess) (User: )
Description: Kommunikationsfehler zwischen On-Access-Treiber und Dienst für ein prozessübergreifendes Threaderstellungsereignis.


Microsoft Office Sessions:
=========================
Error: (08/07/2013 09:56:14 AM) (Source: Application Hang)(User: )
Description: iexplore.exe9.0.8112.16483fec01ce9342c9d325c378C:\Program Files\Internet Explorer\iexplore.exe

Error: (08/04/2013 01:01:18 PM) (Source: MsiInstaller)(User: NT-AUTORITÄT)
Description: Microsoft .NET Framework 4 Client ProfileKB26041211603C:\Windows\TEMP\KB2604121_20130804_125404996-Microsoft .NET Framework 4 Client Profile-MSP0.txt(NULL)(NULL)

Error: (08/04/2013 01:01:06 PM) (Source: MsiInstaller)(User: NT-AUTORITÄT)
Description: Produkt: Microsoft .NET Framework 4 Client Profile -- Fehler 1921. Der Dienst Microsoft .NET Framework NGEN v4.0.30319_X86 (clr_optimization_v4.0.30319_32) konnte nicht beendet werden. Überprüfen Sie, ob Sie ausreichende Berechtigungen zum Beenden von Systemdiensten besitzen.(NULL)(NULL)(NULL)(NULL)(NULL)

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: MSDTC Bridge 4.0.0.0MSDTC Bridge 4.0.0.08F20300004D070000

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:56:10 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: SMSvcHost 4.0.0.0SMSvcHost 4.0.0.08F20300004D070000

Error: (08/04/2013 11:56:03 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:56:01 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: 661216D4190000D2190000D319000068010000

Error: (08/04/2013 11:33:51 AM) (Source: MsiInstaller)(User: NT-AUTORITÄT)
Description: Produkt: Microsoft Fix it 50735 -- Fehler 1704. Eine Installation von Microsoft .NET Framework 4 Client Profile wurde unterbrochen. Sie müssen die von dieser Installation vorgenommenen Änderungen rückgängig machen, bevor Sie den Vorgang fortsetzen können. Möchten Sie diese Änderungen rückgängig machen?(NULL)(NULL)(NULL)(NULL)(NULL)


==================== Memory info ===========================

Percentage of memory in use: 37%
Total physical RAM: 2031.55 MB
Available physical RAM: 1267.55 MB
Total Pagefile: 4063.11 MB
Available Pagefile: 3090.65 MB
Total Virtual: 2047.88 MB
Available Virtual: 1906.86 MB

==================== Drives ================================

Drive c: (C:) (Fixed) (Total:59.62 GB) (Free:22.13 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 60 GB) (Disk ID: 0D1A0D19)
Partition 1: (Active) - (Size=60 GB) - (Type=07 NTFS)

==================== End Of Log ============================

M-K-D-B 10.08.2013 12:45
Servus,



sieht bisher unauffällig aus.



Schritt 1
  • Folge folgendem Pfad: Start -> Systemsteuerung -> Software / Programme deinstallieren
  • Suche in der Liste Software mit dem folgenden Namen
    • ZoneAlarm Security Toolbar
    und deinstalliere das Programm.
  • Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.
  • Sollte es Probleme mit der Deinstallation geben, so lass es mich bitte wissen.





Schritt 2
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).





Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.






Schritt 4
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.








Bitte poste mit deiner nächsten Antwort
  • die Logdatei von AdwCleaner,
  • die Logdatei von JRT,
  • die Logdatei von MBAM.

Turismo 10.08.2013 15:22
Moin!

Code:
# AdwCleaner v2.306 - Datei am 10/08/2013 um 15:32:12 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Professional  (32 bits)
# Benutzer : Turismo - TURISMO-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Turismo\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default\searchplugins\zonealarm.xml
Ordner Gelöscht : C:\Users\Fränzy\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\Turismo\AppData\Local\Temp\AskSearch

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{19D2F415-D58B-46BC-9390-C03DCBC21EB2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6E45F3E8-2683-4824-A6BE-08108022FB36}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9F0F16DD-4E76-4049-A9B1-7A91E48F0323}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{F4288797-CB12-49CE-9DF8-7CDFA1143BEA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHost.Tool
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHost.Tool.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{212C2C4F-C845-4FBC-9561-C833A13D8DCE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{3C5D1D57-16C8-473C-A552-37B8D88596FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{4A115D8A-6A7B-4C72-92B1-2E2D01F36979}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{99DF8440-814E-497F-BDDD-FB93E9E9DF96}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{83CAD530-387D-40FD-82EA-B9E863D92A9B}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16483

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default\prefs.js

C:\Users\Turismo\AppData\Roaming\Mozilla\Firefox\Profiles\ol8ujy14.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [3619 octets] - [10/08/2013 15:32:12]

########## EOF - C:\AdwCleaner[S1].txt - [3679 octets] ##########
Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.4.1 (08.10.2013:1)
OS: Windows 7 Professional x86
Ran by Turismo on 10.08.2013 at 15:43:06,40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7394E585-BE52-41CE-8844-AC9BCE5955CB}



~~~ Files



~~~ Folders



~~~ FireFox

Emptied folder: C:\Users\Turismo\AppData\Roaming\mozilla\firefox\profiles\ol8ujy14.default\minidumps [5 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10.08.2013 at 15:50:09,41
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.10.01

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Turismo :: TURISMO-PC [Administrator]

10.08.2013 15:57:52
mbam-log-2013-08-10 (15-57-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225489
Laufzeit: 21 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

M-K-D-B 11.08.2013 09:21
Servus,



Wir kontrollieren nochmal alles:




Schritt 1

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset






Schritt 2
Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei von ESET,
  • die Logdatei von SecurityCheck.

Turismo 11.08.2013 13:04
MOin,

hab jetzt alles auf XP umgestellt und der Kleine läuft wieder rund. Er war wohl etwas mit W7 überfordert..... Vielen Dank für eure Bemühungen,

Turismo


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:45 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131