Trojaner-Board - Fund im Temp-Ordner...Problem gelöst?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Fund im Temp-Ordner...Problem gelöst? (https://www.trojaner-board.de/142127-fund-temp-ordner-problem-geloest.html)

Fund im Temp-Ordner...Problem gelöst?

Ich habe heute morgen, wie immer mal wieder Microsoft Security Essentials und Malwarebytes Anti-Malware durchlaufen lassen.
Bei MSE gab es keinen Fund, bei MAM allerdings mehrere Funde im Temp-Ordner mit der Bezeichnung: PUP.Optional.Conduit.A

Habe alle entfernen lassen, danach wie vom Programm vorgeschrieben nen Neustart gemacht und die Files dann aus der Quarantäne ebenfalls gelöscht.

Anschließend sowohl MSE, als auch MAM nochmal komplett scannen lassen, doch wurde dieses Mal nichts mehr gefunden.

Ist das Problem damit gelöst oder sollte ich sicherheitshalber noch was anderes checken lassen?

Edit: Falls das wichtig ist, habe Win7 in der Home Premium Edition, 64bit

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!

Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Wow die Antwort ging ja mal schnell.

Lassen sich die Logs von FRST irgendwie anonymisieren oder ist das egal, dass da meine persönlichen Ordnerverzeichnisse drin zu sehen sind?
Die Logs, wenn ich sie in die Codes poste sind viel zu groß, sodass die Beiträge zu lang sind, soll ich die einzeln in Beiträge packen oder doch als Archig irgendwie anhängen? Weiß allerdings nicht wie das geht?

Was andere Scans angeht, der Rechner ist relativ neu aufgesetzt, MSE hat noch nie was gefunden.
MAM schon, sind aber insgesamt viele Logs, welche soll ich da hier posten, damit der Thread nicht total vollgepackt ist?

Wenn dann solltest du nur deinen Benutzernamen editieren. Aber nur dann wenn dein voller Vor- und Nachname da steht. Sonst nicht. Zu große Logs auf mehrere Postings aufteilen.

Selbst wenn ich die FRST.txt in 2 Teile aufteile, kommt.

Zitat:

Der Text, den Sie eingegeben haben, besteht aus 214622 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 120000 Zeichen.

Soll ich die echt in 4 oder 5 verschiedene Antworten aufteilen?

Hier zumindest schonmal die Addition.txt

Zitat:

ï»¿Additional scan result of Farbar Recovery Scan Tool (x64) Version: 26-09-2013
Ran by Andi at 2013-09-26 11:16:24
Running from D:\Downloads
Boot Mode: Normal
==========================================================

==================== Security Center ========================

AV: Microsoft Security Essentials (Enabled - Up to date) {641105E6-77ED-3F35-A304-765193BCB75F}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Microsoft Security Essentials (Enabled - Up to date) {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}

==================== Installed Programs ======================

Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168)
Adobe Reader XI (11.0.04) - Deutsch (x32 Version: 11.0.04)
AutoUpdate (x32 Version: 1.1)
Boilsoft Video Joiner 6.57 (x32)
CCleaner (Version: 4.04)
CDBurnerXP (x32 Version: 4.5.2.4214)
DAEMON Tools Lite (x32 Version: 4.47.1.0333)
DivX Plus Media Foundation Components (x32 Version: 1.0.0)
DivX Version Checker (x32 Version: 7.1.0.9)
DupDetector 3.302 (x32)
FileZilla Client 3.7.3 (x32 Version: 3.7.3)
GeForce Experience NvStream Client Components (Version: 0.1.87)
Image Grabber II (x32)
IrfanView (remove only) (x32 Version: 4.36)
Java 7 Update 25 (x32 Version: 7.0.250)
Java Auto Updater (x32 Version: 2.1.9.5)
JDownloader 0.9 (x32 Version: 0.9)
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended DEU Language Pack (Version: 4.0.30319)
Microsoft Security Client (Version: 4.3.0216.0)
Microsoft Security Essentials (Version: 4.3.216.0)
Microsoft Silverlight (Version: 5.1.20513.0)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219)
Mozilla Firefox 24.0 (x86 de) (x32 Version: 24.0)
Mozilla Maintenance Service (x32 Version: 24.0)
Mozilla Thunderbird 24.0 (x86 de) (x32 Version: 24.0)
NVIDIA GeForce Experience 1.6.1 (Version: 1.6.1)
NVIDIA Grafiktreiber 327.23 (Version: 327.23)
NVIDIA HD-Audiotreiber 1.3.26.4 (Version: 1.3.26.4)
NVIDIA Install Application (Version: 2.1002.133.902)
NVIDIA PhysX (x32 Version: 9.13.0725)
NVIDIA PhysX-Systemsoftware 9.13.0725 (Version: 9.13.0725)
NVIDIA Systemsteuerung 327.23 (Version: 327.23)
NVIDIA Update 8.3.14 (Version: 8.3.14)
NVIDIA Update Components (Version: 8.3.14)
NVIDIA Virtual Audio 1.2.5 (Version: 1.2.5)
OpenOffice 4.0.0 (x32 Version: 4.00.9702)
Pro Evolution Soccer 2014 (x32 Version: 1.01.0000)
Realtek High Definition Audio Driver (x32 Version: 6.0.1.6873)
Samsung Universal Print Driver 2 (x32 Version: 2.50.02.00)
Secunia PSI (3.0.0.7011) (x32 Version: 3.0.0.7011)
SHIELD Streaming (Version: 1.05.28)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2836939) (x32 Version: 1)
VC80CRTRedist - 8.0.50727.4053 (x32 Version: 1.1.0)
VLC media player 2.0.8 (x32 Version: 2.0.8)
Winamp (x32 Version: 5.65 )
Winamp Erkennungs-Plug-in (HKCU Version: 1.0.0.1)
WinRAR 4.20 (32-Bit) (x32 Version: 4.20.0)
XMedia Recode Version 3.1.7.2 (x32 Version: 3.1.7.2)

==================== Restore Points =========================

13-09-2013 20:24:13 Windows Update
13-09-2013 20:33:42 Windows Update
13-09-2013 20:43:58 Windows Update
17-09-2013 03:35:14 Windows Update
21-09-2013 03:35:22 Windows Update
25-09-2013 03:34:52 Windows Update

==================== Hosts content: ==========================

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {A1DE7575-DF70-400D-AF06-F017D9A742AF} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-09-13] (Adobe Systems Incorporated)
Task: {DC576141-1953-43E0-BC44-D7D8B5167F5F} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2013-07-22] (Piriform Ltd)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Loaded Modules (whitelisted) =============

2013-09-19 18:57 - 2013-09-12 10:58 - 15901448 _____ (NVIDIA Corporation) C:\Windows\system32\nvwgf2umx.dll
2013-09-13 21:41 - 2013-08-02 03:51 - 01292192 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntdll.dll
2013-09-13 21:41 - 2013-08-02 03:50 - 01114112 _____ (Microsoft Corporation) C:\Windows\syswow64\kernel32.dll
2013-09-13 21:41 - 2013-08-02 03:50 - 00274944 _____ (Microsoft Corporation) C:\Windows\syswow64\KERNELBASE.dll
2013-09-13 21:07 - 2010-11-20 04:08 - 00833024 _____ (Microsoft Corporation) C:\Windows\syswow64\USER32.dll
2013-09-13 21:06 - 2010-11-20 04:08 - 00311296 _____ (Microsoft Corporation) C:\Windows\syswow64\GDI32.dll
2009-07-14 01:25 - 2009-07-14 03:11 - 00025600 _____ (Microsoft Corporation) C:\Windows\syswow64\LPK.dll
2013-09-13 17:24 - 2012-11-22 06:45 - 00626688 _____ (Microsoft Corporation) C:\Windows\syswow64\USP10.dll
2013-09-13 17:20 - 2011-12-16 09:52 - 00690688 _____ (Microsoft Corporation) C:\Windows\syswow64\msvcrt.dll
2013-09-13 21:07 - 2010-11-20 04:18 - 00640512 _____ (Microsoft Corporation) C:\Windows\syswow64\ADVAPI32.dll
2009-07-14 01:11 - 2009-07-14 03:16 - 00092160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\sechost.dll
2013-09-13 21:40 - 2013-07-09 06:52 - 00663552 _____ (Microsoft Corporation) C:\Windows\syswow64\RPCRT4.dll
2013-09-13 22:24 - 2012-08-24 18:53 - 00096768 _____ (Microsoft Corporation) C:\Windows\syswow64\SspiCli.dll
2009-07-14 01:12 - 2009-07-14 03:15 - 00036864 _____ (Microsoft Corporation) C:\Windows\syswow64\CRYPTBASE.dll
2013-09-13 21:41 - 2013-07-26 03:55 - 12872704 _____ (Microsoft Corporation) C:\Windows\syswow64\SHELL32.dll
2013-09-13 21:07 - 2010-11-20 04:21 - 00350208 _____ (Microsoft Corporation) C:\Windows\syswow64\SHLWAPI.dll
2013-09-13 21:07 - 2010-11-20 04:20 - 01414144 _____ (Microsoft Corporation) C:\Windows\syswow64\ole32.dll
2013-09-13 17:26 - 2011-08-27 06:26 - 00571904 _____ (Microsoft Corporation) C:\Windows\syswow64\OLEAUT32.dll
2013-09-13 21:41 - 2013-07-09 06:46 - 01166848 _____ (Microsoft Corporation) C:\Windows\syswow64\CRYPT32.dll
2013-09-13 21:07 - 2010-11-20 04:19 - 00034304 _____ (Microsoft Corporation) C:\Windows\syswow64\MSASN1.dll
2013-09-13 21:41 - 2013-07-09 06:52 - 00175104 _____ (Microsoft Corporation) C:\Windows\syswow64\WINTRUST.dll
2009-07-14 01:28 - 2009-07-14 03:15 - 00828928 _____ (Microsoft Corporation) C:\Windows\syswow64\MSCTF.dll
2013-09-13 21:07 - 2010-11-20 04:21 - 01667584 _____ (Microsoft Corporation) C:\Windows\syswow64\SETUPAPI.dll
2013-09-13 17:25 - 2011-05-24 12:39 - 00145920 _____ (Microsoft Corporation) C:\Windows\syswow64\CFGMGR32.dll
2013-09-13 17:25 - 2011-05-24 12:40 - 00064512 _____ (Microsoft Corporation) C:\Windows\syswow64\DEVOBJ.dll
2009-07-14 01:12 - 2009-07-14 03:16 - 00008704 _____ (Microsoft Corporation) C:\Windows\syswow64\NSI.dll
2013-09-13 21:57 - 2013-09-13 21:57 - 01141248 _____ (Microsoft Corporation) C:\Windows\syswow64\urlmon.dll
2009-07-14 01:15 - 2009-07-14 03:09 - 00002048 _____ (Microsoft Corporation) C:\Windows\syswow64\normaliz.DLL
2013-09-13 21:57 - 2013-09-13 21:57 - 02048000 _____ (Microsoft Corporation) C:\Windows\syswow64\iertutil.dll
2013-09-13 21:57 - 2013-09-13 21:57 - 01767936 _____ (Microsoft Corporation) C:\Windows\syswow64\WININET.dll
2013-09-13 21:06 - 2010-11-20 04:21 - 00269824 _____ (Microsoft Corporation) C:\Windows\syswow64\WLDAP32.dll
2013-09-13 21:07 - 2010-11-20 04:21 - 00206848 _____ (Microsoft Corporation) C:\Windows\syswow64\WS2_32.dll
2009-07-14 01:44 - 2009-07-14 03:15 - 00522240 _____ (Microsoft Corporation) C:\Windows\syswow64\CLBCatQ.DLL
2009-07-14 01:15 - 2009-07-14 03:16 - 00006144 _____ (Microsoft Corporation) C:\Windows\syswow64\PSAPI.DLL
2013-09-13 21:07 - 2010-11-20 04:21 - 00350208 _____ (Microsoft Corporation) C:\Windows\syswow64\shlwapi.DLL
2013-09-13 21:57 - 2013-09-13 21:57 - 00690688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-09-13 22:24 - 2012-08-24 18:57 - 00247808 _____ (Microsoft Corporation) C:\Windows\SysWOW64\schannel.dll
2009-07-14 01:33 - 2009-07-14 03:17 - 00249680 _____ (Microsoft Corporation) C:\Windows\SysWOW64\bcryptprimitives.dll
2013-09-13 21:06 - 2010-11-20 04:21 - 00560128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapi.dll
2013-09-13 21:06 - 2010-11-20 04:18 - 00073216 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Cabinet.dll
2013-09-13 21:06 - 2010-11-20 04:21 - 00027648 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wups.dll
2013-09-21 22:42 - 2013-09-21 22:42 - 03279768 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
2013-09-13 21:57 - 2013-09-13 21:57 - 01141248 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-09-21 22:42 - 2013-09-21 22:42 - 03007384 _____ () C:\Program Files (x86)\Mozilla Thunderbird\mozjs.dll
2013-09-21 22:42 - 2013-09-21 22:42 - 00158104 _____ () C:\Program Files (x86)\Mozilla Thunderbird\NSLDAP32V60.dll
2013-09-21 22:42 - 2013-09-21 22:42 - 00022424 _____ () C:\Program Files (x86)\Mozilla Thunderbird\NSLDAPPR32V60.dll
2013-09-21 22:42 - 2013-09-21 22:42 - 00596888 _____ (sqlite.org) C:\Program Files (x86)\Mozilla Thunderbird\mozsqlite3.dll
2013-09-13 21:54 - 2012-11-21 07:26 - 00008704 _____ () C:\Users\Andi\AppData\Roaming\Thunderbird\Profiles\obvxzffo.default\extensions\mintrayr@tn123.ath.cx\lib\tray_x86-msvc.dll
2013-09-13 21:57 - 2013-09-13 21:57 - 13761024 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-09-13 21:07 - 2010-11-20 04:18 - 00640512 _____ (Microsoft Corporation) C:\Windows\syswow64\advapi32.dll
2013-09-13 21:07 - 2010-11-20 04:18 - 00485888 _____ (Microsoft Corporation) C:\Windows\syswow64\comdlg32.dll
2013-09-13 17:26 - 2011-08-27 06:26 - 00571904 _____ (Microsoft Corporation) C:\Windows\syswow64\oleaut32.dll
2013-09-13 21:07 - 2010-11-20 04:18 - 00485888 _____ (Microsoft Corporation) C:\Windows\syswow64\COMDLG32.dll

==================== Safe Mode (whitelisted) ===================

==================== Faulty Device Manager Devices =============

Name: WebCam SCB-1900N
Description: USB-VideogerÃ¤t
Class Guid: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
Manufacturer: Microsoft
Service: usbvideo
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Generic Bluetooth Adapter
Description: Generic Bluetooth Adapter
Class Guid: {e0cbf06c-cd8b-4647-bb8a-263b43f0f974}
Manufacturer: GenericAdapter
Service: BTHUSB
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

==================== Event log errors: =========================

Application errors:
==================
Error: (09/19/2013 04:07:31 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: pes2014.exe, Version: 1.0.0.0, Zeitstempel: 0x52159fb4
Name des fehlerhaften Moduls: pes2014.exe, Version: 1.0.0.0, Zeitstempel: 0x52159fb4
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00a2da06
ID des fehlerhaften Prozesses: 0x690
Startzeit der fehlerhaften Anwendung: 0xpes2014.exe0
Pfad der fehlerhaften Anwendung: pes2014.exe1
Pfad des fehlerhaften Moduls: pes2014.exe2
Berichtskennung: pes2014.exe3

Error: (09/17/2013 04:23:33 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: i68Regenerator.exe, Version: 3.2.0.2, Zeitstempel: 0x50db8190
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0x00000000
Fehleroffset: 0x010b4cc4
ID des fehlerhaften Prozesses: 0x9d0
Startzeit der fehlerhaften Anwendung: 0xi68Regenerator.exe0
Pfad der fehlerhaften Anwendung: i68Regenerator.exe1
Pfad des fehlerhaften Moduls: i68Regenerator.exe2
Berichtskennung: i68Regenerator.exe3

Error: (09/17/2013 04:20:13 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: fifafs-win.exe, Version: 0.0.0.0, Zeitstempel: 0x2a425e19
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18229, Zeitstempel: 0x51fb1116
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x0000c41f
ID des fehlerhaften Prozesses: 0x11c8
Startzeit der fehlerhaften Anwendung: 0xfifafs-win.exe0
Pfad der fehlerhaften Anwendung: fifafs-win.exe1
Pfad des fehlerhaften Moduls: fifafs-win.exe2
Berichtskennung: fifafs-win.exe3

Error: (09/17/2013 04:20:00 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: fifafs-win.exe, Version: 0.0.0.0, Zeitstempel: 0x2a425e19
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18229, Zeitstempel: 0x51fb1116
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x0000c41f
ID des fehlerhaften Prozesses: 0xbf4
Startzeit der fehlerhaften Anwendung: 0xfifafs-win.exe0
Pfad der fehlerhaften Anwendung: fifafs-win.exe1
Pfad des fehlerhaften Moduls: fifafs-win.exe2
Berichtskennung: fifafs-win.exe3

Error: (09/17/2013 04:19:57 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: fifafs-win.exe, Version: 0.0.0.0, Zeitstempel: 0x2a425e19
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18229, Zeitstempel: 0x51fb1116
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x0000c41f
ID des fehlerhaften Prozesses: 0xd98
Startzeit der fehlerhaften Anwendung: 0xfifafs-win.exe0
Pfad der fehlerhaften Anwendung: fifafs-win.exe1
Pfad des fehlerhaften Moduls: fifafs-win.exe2
Berichtskennung: fifafs-win.exe3

Error: (09/17/2013 04:19:46 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: fifafs-win.exe, Version: 0.0.0.0, Zeitstempel: 0x2a425e19
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18229, Zeitstempel: 0x51fb1116
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x0000c41f
ID des fehlerhaften Prozesses: 0xe2c
Startzeit der fehlerhaften Anwendung: 0xfifafs-win.exe0
Pfad der fehlerhaften Anwendung: fifafs-win.exe1
Pfad des fehlerhaften Moduls: fifafs-win.exe2
Berichtskennung: fifafs-win.exe3

Error: (09/17/2013 04:19:33 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: fifafs-win.exe, Version: 0.0.0.0, Zeitstempel: 0x2a425e19
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18229, Zeitstempel: 0x51fb1116
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x0000c41f
ID des fehlerhaften Prozesses: 0xd68
Startzeit der fehlerhaften Anwendung: 0xfifafs-win.exe0
Pfad der fehlerhaften Anwendung: fifafs-win.exe1
Pfad des fehlerhaften Moduls: fifafs-win.exe2
Berichtskennung: fifafs-win.exe3

Error: (09/13/2013 09:34:40 PM) (Source: Application Hang) (User: )
Description: Programm psi.exe, Version 3.0.0.7011 kann nicht mehr unter Windows ausgefÃ¼hrt werden und wurde beendet. ÃœberprÃ¼fen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: d44

Startzeit: 01ceb0b83f7a786b

Endzeit: 0

Anwendungspfad: C:\Program Files (x86)\Secunia\PSI\psi.exe

Berichts-ID: 864d9b7f-1cab-11e3-80ad-0024548915be

Error: (09/13/2013 09:02:46 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: sua.exe, Version: 3.0.0.7011, Zeitstempel: 0x51d3d6ad
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0x740e6a64
ID des fehlerhaften Prozesses: 0x68c
Startzeit der fehlerhaften Anwendung: 0xsua.exe0
Pfad der fehlerhaften Anwendung: sua.exe1
Pfad des fehlerhaften Moduls: sua.exe2
Berichtskennung: sua.exe3

Error: (09/13/2013 09:02:45 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: PSIA.exe, Version: 3.0.0.7011, Zeitstempel: 0x51d3d69b
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0x740e6a64
ID des fehlerhaften Prozesses: 0x660
Startzeit der fehlerhaften Anwendung: 0xPSIA.exe0
Pfad der fehlerhaften Anwendung: PSIA.exe1
Pfad des fehlerhaften Moduls: PSIA.exe2
Berichtskennung: PSIA.exe3

System errors:
=============
Error: (09/14/2013 09:51:19 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Lavalys EVEREST Kernel Driver" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error: (09/14/2013 09:51:19 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Lavalys EVEREST Kernel Driver" wurde aufgrund folgenden Fehlers nicht gestartet:
%%577

Error: (09/14/2013 01:51:24 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Superfetch" wurde mit folgendem Fehler beendet:
%%1062

Error: (09/13/2013 10:21:25 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows Modules Installer" wurde mit folgendem Fehler beendet:
%%16405

Error: (09/13/2013 09:32:14 PM) (Source: DCOM) (User: Andi-PC)
Description: ComputerstandardLokalAktivierung{D63AA156-D534-4BAC-9BF1-55359CF5EC30}{E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}Andi-PCUpdatusUserS-1-5-21-1129018005-183086456-2621111855-1001LocalHost (unter Verwendung von LRPC)

Error: (09/13/2013 09:02:46 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Secunia Update Agent" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (09/13/2013 09:02:46 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Secunia PSI Agent" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (09/13/2013 09:02:45 PM) (Source: Service Control Manager) (User: )
Description: Dienst "NVIDIA Update Service Daemon" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (09/13/2013 09:02:44 PM) (Source: Service Control Manager) (User: )
Description: Dienst "Adobe Acrobat Update Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (09/13/2013 09:02:12 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am â€Ž13.â€Ž09.â€Ž2013 um 21:01:25 unerwartet heruntergefahren.

Microsoft Office Sessions:
=========================
Error: (09/19/2013 04:07:31 PM) (Source: Application Error)(User: )
Description: pes2014.exe1.0.0.052159fb4pes2014.exe1.0.0.052159fb4c000000500a2da0669001ceb540bdbee098C:\Program Files (x86)\KONAMI\Pro Evolution Soccer 2014\pes2014.exeC:\Program Files (x86)\KONAMI\Pro Evolution Soccer 2014\pes2014.exed28e67eb-2134-11e3-bac5-0024548915be

Error: (09/17/2013 04:23:33 PM) (Source: Application Error)(User: )
Description: i68Regenerator.exe3.2.0.250db8190unknown0.0.0.00000000000000000010b4cc49d001ceb3b1198652d4C:\Users\Andi\AppData\Local\Temp\RarSFX1\i68Regenerator.exeu nknownbb1f0b45-1fa4-11e3-bac5-0024548915be

Error: (09/17/2013 04:20:13 PM) (Source: Application Error)(User: )
Description: fifafs-win.exe0.0.0.02a425e19KERNELBASE.dll6.1.7601.1822951fb11160eedfade0000c41f11c801ceb3b106014e1dC:\Users\Andi\AppData\Local\Temp\RarSFX0\PrgData\fifafs-win.exeC:\Windows\syswow64\KERNELBASE.dll43b4fd1e-1fa4-11e3-bac5-0024548915be

Error: (09/17/2013 04:20:00 PM) (Source: Application Error)(User: )
Description: fifafs-win.exe0.0.0.02a425e19KERNELBASE.dll6.1.7601.1822951fb11160eedfade0000c41fbf401ceb3b0fea0c086C:\Users\Andi\AppData\Local\Temp\RarSFX0\PrgData\fifafs-win.exeC:\Windows\syswow64\KERNELBASE.dll3c520e27-1fa4-11e3-bac5-0024548915be

Error: (09/17/2013 04:19:57 PM) (Source: Application Error)(User: )
Description: fifafs-win.exe0.0.0.02a425e19KERNELBASE.dll6.1.7601.1822951fb11160eedfade0000c41fd9801ceb3b0fc9c264dC:\Users\Andi\AppData\Local\Temp\RarSFX0\PrgData\fifafs-win.exeC:\Windows\syswow64\KERNELBASE.dll3a4d73ee-1fa4-11e3-bac5-0024548915be

Error: (09/17/2013 04:19:46 PM) (Source: Application Error)(User: )
Description: fifafs-win.exe0.0.0.02a425e19KERNELBASE.dll6.1.7601.1822951fb11160eedfade0000c41fe2c01ceb3b0f65fd553C:\Users\Andi\AppData\Local\Temp\RarSFX0\PrgData\fifafs-win.exeC:\Windows\syswow64\KERNELBASE.dll341122f4-1fa4-11e3-bac5-0024548915be

Error: (09/17/2013 04:19:33 PM) (Source: Application Error)(User: )
Description: fifafs-win.exe0.0.0.02a425e19KERNELBASE.dll6.1.7601.1822951fb11160eedfade0000c41fd6801ceb3b0eddb7876C:\Users\Andi\AppData\Local\Temp\RarSFX0\PrgData\fifafs-win.exeC:\Windows\syswow64\KERNELBASE.dll2c121326-1fa4-11e3-bac5-0024548915be

Error: (09/13/2013 09:34:40 PM) (Source: Application Hang)(User: )
Description: psi.exe3.0.0.7011d4401ceb0b83f7a786b0C:\Program Files (x86)\Secunia\PSI\psi.exe864d9b7f-1cab-11e3-80ad-0024548915be

Error: (09/13/2013 09:02:46 PM) (Source: Application Error)(User: )
Description: sua.exe3.0.0.701151d3d6adunknown0.0.0.000000000c0000005740e6a6468c01ceb0b3c207da49C:\Program Files (x86)\Secunia\PSI\sua.exeunknown12b5e1da-1ca7-11e3-99ef-0024548915be

Error: (09/13/2013 09:02:45 PM) (Source: Application Error)(User: )
Description: PSIA.exe3.0.0.701151d3d69bunknown0.0.0.000000000c0000005740e6a6466001ceb0b3c1e8e866C:\Program Files (x86)\Secunia\PSI\PSIA.exeunknown1269b5d1-1ca7-11e3-99ef-0024548915be

CodeIntegrity Errors:
===================================
Date: 2013-09-14 09:51:19.580
Description: Windows konnte die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\Users\Andi\AppData\Local\Temp\EverestDriver.sys" nicht Ã¼berprÃ¼fen, weil der Dateihash nicht im System gefunden wurde. MÃ¶glicherweise wurde durch eine kÃ¼rzlich durchgefÃ¼hrte Hardware- oder SoftwareÃ¤nderung eine falsch signierte oder beschÃ¤digte Datei oder eine Datei, bei der es sich um schÃ¤dliche Software aus einer unbekannten Quelle handelt, installiert.

Date: 2013-09-14 09:51:19.517
Description: Windows konnte die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\Users\Andi\AppData\Local\Temp\EverestDriver.sys" nicht Ã¼berprÃ¼fen, weil der Dateihash nicht im System gefunden wurde. MÃ¶glicherweise wurde durch eine kÃ¼rzlich durchgefÃ¼hrte Hardware- oder SoftwareÃ¤nderung eine falsch signierte oder beschÃ¤digte Datei oder eine Datei, bei der es sich um schÃ¤dliche Software aus einer unbekannten Quelle handelt, installiert.

Date: 2013-09-14 09:51:19.425
Description: Windows konnte die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\Program Files (x86)\Lavalys\EVEREST Home Edition\kerneld.amd64" nicht Ã¼berprÃ¼fen, weil der Dateihash nicht im System gefunden wurde. MÃ¶glicherweise wurde durch eine kÃ¼rzlich durchgefÃ¼hrte Hardware- oder SoftwareÃ¤nderung eine falsch signierte oder beschÃ¤digte Datei oder eine Datei, bei der es sich um schÃ¤dliche Software aus einer unbekannten Quelle handelt, installiert.

Date: 2013-09-14 09:51:19.362
Description: Windows konnte die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\Program Files (x86)\Lavalys\EVEREST Home Edition\kerneld.amd64" nicht Ã¼berprÃ¼fen, weil der Dateihash nicht im System gefunden wurde. MÃ¶glicherweise wurde durch eine kÃ¼rzlich durchgefÃ¼hrte Hardware- oder SoftwareÃ¤nderung eine falsch signierte oder beschÃ¤digte Datei oder eine Datei, bei der es sich um schÃ¤dliche Software aus einer unbekannten Quelle handelt, installiert.

Date: 2013-09-13 21:08:16.757
Description: Die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\e94bf3832f820f9d669e\78f9d2721effb34a71\37b7caa2034438a7f8461e8e939dbf9d\x86_microsoft-windows-userenv_31bf3856ad364e35_7.1.7601.17514_none_83b850a4346b9b7c\userenv.dll" konnte nicht Ã¼berprÃ¼ft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2013-09-13 21:08:16.695
Description: Die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\e94bf3832f820f9d669e\78f9d2721effb34a71\37b7caa2034438a7f8461e8e939dbf9d\x86_microsoft-windows-userenv_31bf3856ad364e35_6.1.7601.17514_none_9247d45ea984f2ad\userenv.dll" konnte nicht Ã¼berprÃ¼ft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2013-09-13 21:08:16.492
Description: Die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\e94bf3832f820f9d669e\78f9d2721effb34a71\37b7caa2034438a7f8461e8e939dbf9d\x86_microsoft-windows-rpc-remote_31bf3856ad364e35_6.1.7601.17514_none_c2a09d30916321d9\rpcrtremote.dll" konnte nicht Ã¼berprÃ¼ft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2013-09-13 21:08:15.229
Description: Die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\e94bf3832f820f9d669e\78f9d2721effb34a71\37b7caa2034438a7f8461e8e939dbf9d\amd64_microsoft-windows-userenv_31bf3856ad364e35_7.1.7601.17514_none_dfd6ec27ecc90cb2\userenv.dll" konnte nicht Ã¼berprÃ¼ft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2013-09-13 21:08:14.854
Description: Die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\e94bf3832f820f9d669e\78f9d2721effb34a71\37b7caa2034438a7f8461e8e939dbf9d\amd64_microsoft-windows-rpc-remote_31bf3856ad364e35_6.1.7601.17514_none_1ebf38b449c0930f\rpcrtremote.dll" konnte nicht Ã¼berprÃ¼ft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

Date: 2013-09-13 21:07:13.655
Description: Die AbbildintegritÃ¤t der Datei "\Device\HarddiskVolume2\e94bf3832f820f9d669e\78f9d2721effb34a71\37b7caa2034438a7f8461e8e939dbf9d\amd64_microsoft-windows-userenv_31bf3856ad364e35_6.1.7601.17514_none_ee666fe261e263e3\userenv.dll" konnte nicht Ã¼berprÃ¼ft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

==================== Memory info ===========================

Percentage of memory in use: 67%
Total physical RAM: 3949.63 MB
Available physical RAM: 1272.16 MB
Total Pagefile: 7897.43 MB
Available Pagefile: 5192.61 MB
Total Virtual: 8192 MB
Available Virtual: 8191.81 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:249.04 GB) (Free:184.28 GB) NTFS
Drive d: (Volume) (Fixed) (Total:216.62 GB) (Free:22.71 GB) NTFS
Drive f: (Seagate Expansion Drive) (Fixed) (Total:931.51 GB) (Free:74.35 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 96511227)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=249 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=217 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 932 GB) (Disk ID: C98AA66C)
Partition 1: (Not Active) - (Size=932 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Okay, hieran dann die FRST.txt angehängt.

Edit: Hab für MAM eine Lösung gefunden, hier die Logs von heute(alle anderen sind älter als 7 Tage):

Zitat:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.09.26.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16686
Andi :: ANDI-PC [Administrator]

26.09.2013 10:21:13
mbam-log-2013-09-26 (10-21-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 84028
Laufzeit: 10 Minute(n), 35 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Andi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FVIJT20I\mism[1].exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PDQUSBC8\checktbexist[1].exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W5FBG4QF\ism[1].exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Temp\ct3297265\ism.exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Zitat:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.09.26.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16686
Andi :: ANDI-PC [Administrator]

26.09.2013 10:34:41
mbam-log-2013-09-26 (10-34-41).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 215323
Laufzeit: 1 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 3
C:\Users\Andi\AppData\Local\Temp\ct3288691 (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Temp\ct3297265 (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Temp\ct3297861 (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 4
C:\Users\Andi\AppData\Local\Temp\ct3288691\chromeid.txt (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Temp\ct3288691\setup.ini.txt (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Temp\ct3297861\chromeid.txt (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Andi\AppData\Local\Temp\ct3297861\setup.ini.txt (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Die beiden waren vor dem Löschen und hier dann der "saubere" Scan:

Zitat:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

MBAR ist durchgelaufen, hat nichts gefunden, musste also nicht auf Clean-Up klicken.

Hier die Log-Datei:

Zitat:

Malwarebytes Anti-Rootkit BETA 1.07.0.1005
www.malwarebytes.org

Database version: v2013.09.26.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16686
Andi :: ANDI-PC [administrator]

26.09.2013 14:19:36
mbar-log-2013-09-26 (14-19-36).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 229997
Time elapsed: 4 minute(s), 54 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Die Logs bitte in CODE und nicht QUOTE Tags posten

Adware/Junkware/Toolbars entfernen

1. Schritt: adwCleaner

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Sorry wegen der Quote Sache :)

JRT Log:

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 6.0.2 (09.22.2013:1)

OS: Windows 7 Home Premium x64

Ran by Andi on 26.09.2013 at 15:00:47,23

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services
 

~~~ Registry Values
 

~~~ Registry Keys
 

~~~ Files
 

~~~ Folders
 

~~~ FireFox
 

Emptied folder: C:\Users\Andi\AppData\Roaming\mozilla\firefox\profiles\4zqaxbir.default\minidumps [13 files]
 

~~~ Event Viewer Logs were cleared
 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 26.09.2013 at 15:04:42,99

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

AdwCleaner Log:

Code:

# AdwCleaner v3.005 - Bericht erstellt am 26/09/2013 um 14:52:55

# Updated 22/09/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzername : Andi - ANDI-PC

# Gestartet von : C:\Users\Andi\Desktop\adwcleaner.exe

# Option : Löschen
 

***** [ Dienste ] *****
 
 

***** [ Dateien / Ordner ] *****
 

Ordner Gelöscht : C:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\4zqaxbir.default\jetpack

Datei Gelöscht : C:\END
 

***** [ Verknüpfungen ] *****
 
 

***** [ Registrierungsdatenbank ] *****
 

Schlüssel Gelöscht : HKCU\Software\Conduit
 

***** [ Browser ] *****
 

-\\ Internet Explorer v10.0.9200.16686
 
 

-\\ Mozilla Firefox v24.0 (de)
 

[ Datei : C:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\4zqaxbir.default\prefs.js ]
 
 

*************************
 

AdwCleaner[R0].txt - [1010 octets] - [26/09/2013 14:51:47]

AdwCleaner[S0].txt - [885 octets] - [26/09/2013 14:52:55]
 

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [944 octets] ##########

Das FRST-Log als Anhang.

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes Anti-Malware (MBAM)

Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

MBAM hat im QuickScan nichts mehr gefunden.

ESET auch nicht, soll ich da trotzdem das Logfile noch posten?

Ansonsten schonmal vielen Dank für die schnelle und genaue Hilfe. Eine Frage hab ich allerdings noch. Irgendwas scheint sich ja, neben den Temp-Dateien, noch in Firefox eingefressen zu haben, das von JRT und AdwCLeaner entfernt wurde. Was war denn das?

Und vor allem: wie schütze ich mich in Zukunft besser davor? War bisher davon ausgegangen, eigentlich optimalen Schutz für den Rechner zu haben.

Trotzdem beide Logs posten

ESET:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=e51745ec04ad1143add6f359d3e742a3

# engine=15269

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-09-26 02:14:50

# local_time=2013-09-26 04:14:50 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776574 100 94 1101288 131834740 0 0

# scanned=142776

# found=0

# cleaned=0

# scan_time=2138

MBAM:

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.09.26.04
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 10.0.9200.16686

Andi :: ANDI-PC [Administrator]
 

26.09.2013 15:29:57

mbam-log-2013-09-26 (15-29-57).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 216601

Laufzeit: 1 Minute(n), 36 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Nochmal eine Frage, habe eben probeweise nochmal den AdwCleaner durchlaufen lassen und folgenden Fund gehabt:

Code:

# AdwCleaner v3.005 - Bericht erstellt am 26/09/2013 um 19:26:23

# Updated 22/09/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzername : Andi - ANDI-PC

# Gestartet von : C:\Users\Andi\Desktop\adwcleaner.exe

# Option : Löschen
 

***** [ Dienste ] *****
 
 

***** [ Dateien / Ordner ] *****
 

Ordner Gelöscht : C:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\4zqaxbir.default\jetpack
 

***** [ Verknüpfungen ] *****
 
 

***** [ Registrierungsdatenbank ] *****
 
 

***** [ Browser ] *****
 

-\\ Internet Explorer v10.0.9200.16686
 
 

-\\ Mozilla Firefox v24.0 (de)
 

[ Datei : C:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\4zqaxbir.default\prefs.js ]
 
 

*************************
 

AdwCleaner[R1].txt - [891 octets] - [26/09/2013 19:25:28]

AdwCleaner[S1].txt - [815 octets] - [26/09/2013 19:26:23]
 

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [874 octets] ##########

Wieder gelöscht und neu gestartet und wie schon vorhin, musste ich danach Ghostery als Addon neu installieren. Als ich das gemacht habe, tauchte dieses "jetpack" erneut auf bei der Suche. Ist das normal bzw. kann ich das ignorieren?

Zitat:

musste ich danach Ghostery als Addon neu installieren. Als ich das gemacht habe, tauchte dieses "jetpack" erneut auf bei der Suche.

Na welche ein Zufall :D was meinste wohl woher dieses Objekt dann stammt? ;)

Heißt ich soll auf Ghostery verzichten also es aus dem Browser entfernen? Dachte das wäre, weil von der Mozilla-Addon-Seite, was gutes ?

Warum wird immer etwas absolutes/in Stein gemeißeltes daraus geschlussfolgert...adwCleaner ist ein nettes Tool, dass viel Junkware und Adware entfernt aber nicht unfehlbar. Nur weil es einen Ordner löschen will, heißt das nicht, dass dieser Ordner eine sicherheitstechnische Katastrophe ist...

Lies mal was über Ghostery und entscheide denn mal selbständig ob du es noch einsetzen willst oder nicht => Ghostery ? Wikipedia

So war das gar nicht gemeint, nur klang deine Antwort so, als wäre Ghostery Schuld an der eigentlichen Infektion des Systems ;)

Vielen vielen Dank auf jeden Fall für deine Hilfe, das System müsste jetzt ja wieder clean sein oder? Trotzdem würde mich halt interessieren, wie es dazu kommen konnte bzw. ob ich mich in Zukunft irgendwie besser absichern kann.

Zitat:

Trotzdem würde mich halt interessieren, wie es dazu kommen konnte bzw. ob ich mich in Zukunft irgendwie besser absichern kann.

Viel lesen, lesen und noch mehr lesen und die Sicherheitsregeln umsetzen, im Prinzip muss man diese "leben"

Lesestoff:
Goldene Sicherheitsregeln
Halte Dich am besten grob an diese Regeln:

Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
Führe regelmäßig Backups auf externe Medien durch
Arbeite mit eingeschränkten Rechten
automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Werde mich da mal durcharbeiten. Dankeschön :)

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Also MBAM und MSE haben nichts mehr gefunden. AdwCleaner wie gesagt nur Ghostery. Sollte also alles okay sein :)

Dann wären wir durch! :daumenhoc

Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden.

Helfen kann dir dabei delfix:

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Bitte abschließend noch die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.