GVU-Trojaner beendet abgesicherten Modus

planetofrock · 13.07.2013, 11:14

Hallo,
auch ich habe mir jetzt den Trojaner eingefangen. Ich komme weder in den abgesicherten Modus noch auf die normale Windows 7 Oberfläche.
Ich habe mich schon ein wenig hier durchgelesen, aber leider bisher ohne Erfolg.
Hier meine FRST Logdatei

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 12-07-2013 02
Ran by SYSTEM on 13-07-2013 12:05:37
Running from E:\
Windows 7 Professional (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet004
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [MSC] - "c:\Program Files\Microsoft Security Client\mssecex.exe" -hide -runkey [x]
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-07-16] (Samsung Electronics Co., Ltd.)
HKLM\...\Run: [EEventManager] - "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [976320 2009-12-03] (SEIKO EPSON CORPORATION)
HKLM\...\Run: [TrojanScanner] - C:\Program Files\Trojan Remover\Trjscan.exe /boot [1247504 2012-09-14] (Simply Super Software)
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [685048 2012-08-03] (Cisco Systems, Inc.)
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Imperator\...\Run: [KiesPreload] - C:\Program Files\Samsung\Kies\Kies.exe /preload [ 2012-07-16] (Samsung)
HKU\Imperator\...\Run: [KiesAirMessage] - C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup [x]
HKU\Imperator\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [ 2013-04-19] (Skype Technologies S.A.)
HKU\Imperator\...\Command Processor: "C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe" <===== ATTENTION!
Startup: C:\Users\All Users\Start Menu\Programs\Startup\Launcher.lnk
ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe ()
Startup: C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk ->  (No File)

========================== Services (Whitelisted) =================

S2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-08-13] ()
S2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION)
S2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION)
S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)
S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation)
S2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [537592 2012-08-03] (Cisco Systems, Inc.)

==================== Drivers (Whitelisted) ====================

S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [87976 2012-08-03] (Cisco Systems, Inc.)
S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)
S1 jmopyvlk; \??\C:\Windows\system32\drivers\jmopyvlk.sys [x]
S1 jzoyioxf; \??\C:\Windows\system32\drivers\jzoyioxf.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-13 02:37 - 2013-07-13 12:48 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST
2013-07-13 00:13 - 2013-07-13 10:52 - 00008133 _____ C:\Windows\WindowsUpdate.log
2013-07-12 22:59 - 2013-07-13 10:52 - 00196608 _____ C:\Windows\System32\Ikeext.etl
2013-07-12 22:58 - 2013-07-13 10:49 - 00000560 _____ C:\Windows\setupact.log
2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview
2013-07-09 10:29 - 2013-07-09 10:29 - 00163072 _____ C:\Users\All Users\2433f433
2013-07-09 10:29 - 2013-07-09 10:29 - 00163054 _____ C:\Users\Imperator\AppData\Local\2433f433
2013-07-09 10:29 - 2013-07-09 10:29 - 00162998 _____ C:\Users\Imperator\AppData\Roaming\2433f433
2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-27 10:29 - 2013-06-27 10:30 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern
2013-06-22 08:10 - 2013-06-02 16:21 - 73381792 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-20 21:17 - 2013-07-13 10:49 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics

==================== One Month Modified Files and Folders =======

2013-07-13 12:48 - 2013-07-13 02:37 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-13 10:52 - 2013-07-13 00:13 - 00008133 _____ C:\Windows\WindowsUpdate.log
2013-07-13 10:52 - 2013-07-12 22:59 - 00196608 _____ C:\Windows\System32\Ikeext.etl
2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-13 10:49 - 2013-07-12 22:58 - 00000560 _____ C:\Windows\setupact.log
2013-07-13 10:49 - 2013-06-20 21:17 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-13 01:00 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\tracing
2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST
2013-07-09 15:48 - 2012-08-06 20:47 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview
2013-07-09 10:29 - 2013-07-09 10:29 - 00163072 _____ C:\Users\All Users\2433f433
2013-07-09 10:29 - 2013-07-09 10:29 - 00163054 _____ C:\Users\Imperator\AppData\Local\2433f433
2013-07-09 10:29 - 2013-07-09 10:29 - 00162998 _____ C:\Users\Imperator\AppData\Roaming\2433f433
2013-07-09 10:14 - 2012-08-09 13:00 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Skype
2013-07-06 09:48 - 2012-08-09 12:46 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Dropbox
2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-07-02 15:30 - 2012-05-01 14:05 - 00000000 ____D C:\Users\Imperator\Desktop\Sevilla
2013-07-02 08:36 - 2012-08-06 19:43 - 01498506 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-02 08:31 - 2012-08-09 12:53 - 00000000 ___RD C:\Users\Imperator\Dropbox
2013-06-27 10:30 - 2013-06-27 10:29 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern
2013-06-25 08:40 - 2009-07-14 03:37 - 00000000 __RHD C:\Users\Public\Libraries
2013-06-24 22:47 - 2012-08-13 16:29 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\ALDITALKVerbindungsassistent
2013-06-23 16:18 - 2013-01-05 20:48 - 00010348 _____ C:\Users\Imperator\Desktop\Spielzeugausgaben2013.xlsx
2013-06-13 12:29 - 2012-12-25 16:11 - 00000000 ____D C:\Users\All Users\Microsoft Help

Files to move or delete:
====================
C:\ProgramData\7909034.pad

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2012-12-12 14:48] - [2012-09-06 17:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 11%
Total physical RAM: 4051.17 MB
Available physical RAM: 3569.32 MB
Total Pagefile: 4049.45 MB
Available Pagefile: 3577.39 MB
Total Virtual: 2047.88 MB
Available Virtual: 1944.07 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:148.93 GB) (Free:16.98 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: () (Removable) (Total:3.73 GB) (Free:2.63 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 98DEB064)
Partition 1: (Not Active) - (Size=125 MB) - (Type=DE)
Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-06-24 22:41

==================== End Of Log ============================

Ich hoffe ihr könnt mir helfen

schrauber · 13.07.2013, 11:20

Hi,

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\Imperator\...\Command Processor: "C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe" <===== ATTENTION!
S1 jmopyvlk; \??\C:\Windows\system32\drivers\jmopyvlk.sys [x]
S1 jzoyioxf; \??\C:\Windows\system32\drivers\jzoyioxf.sys [x]
2013-07-09 10:29 - 2013-07-09 10:29 - 00163072 _____ C:\Users\All Users\2433f433
2013-07-09 10:29 - 2013-07-09 10:29 - 00163054 _____ C:\Users\Imperator\AppData\Local\2433f433
2013-07-09 10:29 - 2013-07-09 10:29 - 00162998 _____ C:\Users\Imperator\AppData\Roaming\2433f433
C:\ProgramData\7909034.pad
C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe
C:\Windows\system32\drivers\jmopyvlk.sys
C:\Windows\system32\drivers\jzoyioxf.sys

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

neu booten

planetofrock · 13.07.2013, 11:52

Hallo.
Ausgeführt, neugestartet, leider ist der GVU Bildschirm immer noch da

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 12-07-2013 02
Ran by SYSTEM at 2013-07-13 12:50:37 Run:4
Running from E:\
Boot Mode: Recovery

==============================================

HKU\Imperator\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
jmopyvlk => Service deleted successfully.
jzoyioxf => Service deleted successfully.
C:\Users\All Users\2433f433 => Moved successfully.
C:\Users\Imperator\AppData\Local\2433f433 => Moved successfully.
C:\Users\Imperator\AppData\Roaming\2433f433 => Moved successfully.
C:\ProgramData\7909034.pad => Moved successfully.
"C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe" => File/Directory not found.
"C:\Windows\system32\drivers\jmopyvlk.sys" => File/Directory not found.
"C:\Windows\system32\drivers\jzoyioxf.sys" => File/Directory not found.

==== End of Fixlog ====

schrauber · 13.07.2013, 15:04

What? Poste mal ein frisches Scanlog aus der Recovery.

planetofrock · 13.07.2013, 22:50

Also hier die Logfile
Bin schon richtig verzweifelt :-(

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 12-07-2013 02
Ran by SYSTEM on 13-07-2013 23:47:58
Running from E:\
Windows 7 Professional (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet004
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [MSC] - "c:\Program Files\Microsoft Security Client\mssecex.exe" -hide -runkey [x]
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-07-16] (Samsung Electronics Co., Ltd.)
HKLM\...\Run: [EEventManager] - "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [976320 2009-12-03] (SEIKO EPSON CORPORATION)
HKLM\...\Run: [TrojanScanner] - C:\Program Files\Trojan Remover\Trjscan.exe /boot [1247504 2012-09-14] (Simply Super Software)
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [685048 2012-08-03] (Cisco Systems, Inc.)
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Imperator\...\Run: [KiesPreload] - C:\Program Files\Samsung\Kies\Kies.exe /preload [ 2012-07-16] (Samsung)
HKU\Imperator\...\Run: [KiesAirMessage] - C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup [x]
HKU\Imperator\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [ 2013-04-19] (Skype Technologies S.A.)
Startup: C:\Users\All Users\Start Menu\Programs\Startup\Launcher.lnk
ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe ()
Startup: C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk ->  (No File)

========================== Services (Whitelisted) =================

S2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-08-13] ()
S2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION)
S2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION)
S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)
S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation)
S2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [537592 2012-08-03] (Cisco Systems, Inc.)

==================== Drivers (Whitelisted) ====================

S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [87976 2012-08-03] (Cisco Systems, Inc.)
S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-13 02:37 - 2013-07-13 12:48 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST
2013-07-13 00:13 - 2013-07-13 10:52 - 00008133 _____ C:\Windows\WindowsUpdate.log
2013-07-12 22:59 - 2013-07-13 11:53 - 00196608 _____ C:\Windows\System32\Ikeext.etl
2013-07-12 22:58 - 2013-07-13 11:51 - 00000616 _____ C:\Windows\setupact.log
2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview
2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-27 10:29 - 2013-06-27 10:30 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern
2013-06-22 08:10 - 2013-06-02 16:21 - 73381792 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-20 21:17 - 2013-07-13 11:51 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics

==================== One Month Modified Files and Folders =======

2013-07-13 12:48 - 2013-07-13 02:37 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-13 11:53 - 2013-07-12 22:59 - 00196608 _____ C:\Windows\System32\Ikeext.etl
2013-07-13 11:51 - 2013-07-12 22:58 - 00000616 _____ C:\Windows\setupact.log
2013-07-13 11:51 - 2013-06-20 21:17 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-13 10:52 - 2013-07-13 00:13 - 00008133 _____ C:\Windows\WindowsUpdate.log
2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-13 01:00 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\tracing
2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST
2013-07-09 15:48 - 2012-08-06 20:47 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview
2013-07-09 10:14 - 2012-08-09 13:00 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Skype
2013-07-06 09:48 - 2012-08-09 12:46 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Dropbox
2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-07-02 15:30 - 2012-05-01 14:05 - 00000000 ____D C:\Users\Imperator\Desktop\Sevilla
2013-07-02 08:36 - 2012-08-06 19:43 - 01498506 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-02 08:31 - 2012-08-09 12:53 - 00000000 ___RD C:\Users\Imperator\Dropbox
2013-06-27 10:30 - 2013-06-27 10:29 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern
2013-06-25 08:40 - 2009-07-14 03:37 - 00000000 __RHD C:\Users\Public\Libraries
2013-06-24 22:47 - 2012-08-13 16:29 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\ALDITALKVerbindungsassistent
2013-06-23 16:18 - 2013-01-05 20:48 - 00010348 _____ C:\Users\Imperator\Desktop\Spielzeugausgaben2013.xlsx
2013-06-13 12:29 - 2012-12-25 16:11 - 00000000 ____D C:\Users\All Users\Microsoft Help

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2012-12-12 14:48] - [2012-09-06 17:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E


==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 11%
Total physical RAM: 4051.17 MB
Available physical RAM: 3572.44 MB
Total Pagefile: 4049.45 MB
Available Pagefile: 3573.77 MB
Total Virtual: 2047.88 MB
Available Virtual: 1936.07 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:148.93 GB) (Free:16.98 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: () (Removable) (Total:3.73 GB) (Free:2.63 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 98DEB064)
Partition 1: (Not Active) - (Size=125 MB) - (Type=DE)
Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-06-24 22:41

==================== End Of Log ============================

--- --- ---

schrauber · 14.07.2013, 12:34

Der Sperrbildschirm kommt immer noch? Das Log ist total sauber. Versuchs nochmal, versuch auch die 3 abgesicherten Modi.

planetofrock · 14.07.2013, 12:48

Ich versteh die Welt nicht mehr

Startbildschirm kam nicht, nur GVU, hab neugestartet um einen abgesicherten Modus auszuprobieren, ging nicht, er hat neugestartet und auf einmal bin ich auf dem Desktop

Okay... Wie geht es weiter?

schrauber · 14.07.2013, 12:55

Wollt auch schon sagen

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

planetofrock · 14.07.2013, 15:10

Hallo

AdwCleaner

Code:

ATTFilter

# AdwCleaner v2.304 - Datei am 14/07/2013 um 15:45:46 erstellt
# Aktualisiert am 03/07/2013 von Xplode
# Betriebssystem : Windows 7 Professional  (32 bits)
# Benutzer : Imperator - IMPERATOR-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Imperator\Downloads\adwcleaner_2.3.0.4.exe
# Option [Löschen]


**** [Dienste] ****

Gestoppt & Gelöscht : WajamUpdater

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Windows\Tasks\DSite.job
Ordner Gelöscht : C:\Program Files\Wajam
Ordner Gelöscht : C:\Users\Imperator\AppData\Local\Wajam
Ordner Gelöscht : C:\Users\Imperator\AppData\Roaming\DSite
Ordner Gelöscht : C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Crossrider
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\InstalledBrowserExtensions
Schlüssel Gelöscht : HKCU\Software\Wajam
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110311341126}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220322342226}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.BHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.BHO.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.Sandbox
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.Sandbox.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550355345526}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660366346626}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440344344426}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110311341126}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110311341126}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Schlüssel Gelöscht : HKLM\Software\Wajam
Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WajamUpdater
Wert Gelöscht : HKCU\Software\Mozilla\Firefox\Extensions [{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16476

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\prefs.js

C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\user.js ... Gelöscht !

Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...]
Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...]
Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...]
Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...]
Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...]
Gelöscht : user_pref("extensions.wajam.affiliate_id", "6447");
Gelöscht : user_pref("extensions.wajam.firstrun", "false");
Gelöscht : user_pref("extensions.wajam.log_send_info", "false");
Gelöscht : user_pref("extensions.wajam.mappingListJsonString", "{\"version\":\"0.21087\",\"supported_sites\":{\[...]
Gelöscht : user_pref("extensions.wajam.no_trace", "false");
Gelöscht : user_pref("extensions.wajam.server_current_mapping_version", "0.21087");
Gelöscht : user_pref("extensions.wajam.supported_sites.encryptedgoogle.wajam_google_js", "try {window['APP_LABE[...]
Gelöscht : user_pref("extensions.wajam.supported_sites.google.wajam_google_se_js", "try {window['APP_LABEL_NAME[...]
Gelöscht : user_pref("extensions.wajam.trace_log", "1373809131940 - processSiteLookup - Looking for a pattern m[...]
Gelöscht : user_pref("extensions.wajam.unique_id", "BB136028FC4016E37E8421335E36CC6F");
Gelöscht : user_pref("extensions.wajam.user_current_mapping_version", "0");
Gelöscht : user_pref("extensions.wajam.version", "1.26");

-\\ Google Chrome v28.0.1500.72

Datei : C:\Users\Imperator\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [6486 octets] - [14/07/2013 15:44:35]
AdwCleaner[S1].txt - [6533 octets] - [14/07/2013 15:45:46]

########## EOF - C:\AdwCleaner[S1].txt - [6593 octets] ##########

JRT hat zwar den Scan ausgeführt, legt aber keine .txt Datei an... komisch...

Alles andere klappte Problemlos

FRST

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-07-2013
Ran by Imperator (administrator) on 14-07-2013 16:04:47
Running from C:\Users\Imperator\Downloads
Microsoft Windows 7 Professional  (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) c:\Program Files\Microsoft Security Client\MsMpEng.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe
() C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE
(SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE
(Microsoft Corporation) c:\Program Files\Microsoft Security Client\NisSrv.exe
(Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
(Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Kies\KiesTrayAgent.exe
(SEIKO EPSON CORPORATION) C:\Program Files\Epson Software\Event Manager\EEventManager.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe
(Samsung) C:\Program Files\Samsung\Kies\Kies.exe
(Skype Technologies S.A.) C:\Program Files\Skype\Phone\Skype.exe
() C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe
(Dropbox, Inc.) C:\Users\Imperator\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe
(Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jucheck.exe
(Microsoft Corporation) c:\Program Files\Microsoft Security Client\MpCmdRun.exe
(Microsoft Corporation) c:\Program Files\Microsoft Security Client\MpCmdRun.exe
(Microsoft Corporation) c:\Program Files\Microsoft Security Client\MpCmdRun.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [MSC] - "c:\Program Files\Microsoft Security Client\mssecex.exe" -hide -runkey [x]
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-07-16] (Samsung Electronics Co., Ltd.)
HKLM\...\Run: [EEventManager] - "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [976320 2009-12-03] (SEIKO EPSON CORPORATION)
HKLM\...\Run: [TrojanScanner] - C:\Program Files\Trojan Remover\Trjscan.exe /boot [1247504 2012-09-14] (Simply Super Software)
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [685048 2012-08-03] (Cisco Systems, Inc.)
HKCU\...\Run: [KiesPreload] - C:\Program Files\Samsung\Kies\Kies.exe /preload [975800 2012-07-16] (Samsung)
HKCU\...\Run: [KiesAirMessage] - C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup [x]
HKCU\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [18678376 2013-04-19] (Skype Technologies S.A.)
HKCU\...\Winlogon: [Shell] explorer.exe <==== ATTENTION 
HKCU\...\Command Processor:  <======= ATTENTION
MountPoints2: E - E:\.\Setup.exe AUTORUN=1
MountPoints2: F - F:\.\Setup.exe AUTORUN=1
MountPoints2: {3bec7d41-e1a6-11e1-a3b3-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {3bec7d45-e1a6-11e1-a3b3-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {7a130d3d-dd6b-11e2-9caf-0023ae38166a} - E:\.\Setup.exe AUTORUN=1
MountPoints2: {7f6b03bc-e3b9-11e1-adc3-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {7f6b03bf-e3b9-11e1-adc3-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {8ffdfa18-e1b8-11e1-9cb0-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {8ffdfa1b-e1b8-11e1-9cb0-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {9301a00d-e55a-11e1-ae2b-0023ae38166a} - E:\.\Setup.exe AUTORUN=1
MountPoints2: {9301a025-e55a-11e1-ae2b-0023ae38166a} - E:\.\Setup.exe AUTORUN=1
MountPoints2: {c5f034fb-986b-11e2-8588-001e101f24f1} - E:\LaunchU3.exe -a
MountPoints2: {c5f03537-986b-11e2-8588-001e101f24f1} - E:\.\Setup.exe AUTORUN=1
MountPoints2: {d6ac2cf0-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {d6ac2d24-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {d6ac2dc3-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {d6ac2dc7-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe
MountPoints2: {db10ea30-dff2-11e1-8b92-806e6f6e6963} - D:\setup.exe /AUTORUN
Startup: C:\ProgramData\Start Menu\Programs\Startup\Launcher.lnk
ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe ()
Startup: C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Imperator\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
BHO: Super Lyrics - {B9020890-9E08-446B-87B0-0C5CD0436D86} - C:\Program Files\Super_Lyrics\120.dll (Super Add-on Software)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM - Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
Handler: msdaipp - No CLSID Value - 
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.254
Tcpip\..\Interfaces\{8F6B1ED2-9882-4D75-ACFE-220D3C0E9113}: [NameServer]212.23.115.148,212.23.115.132

FireFox:
========
FF ProfilePath: C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default
FF Homepage: hxxp://de.yahoo.com/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/DTPlugin,version=10.9.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.9.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @microsoft.com/GENUINE - disabled No File
FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF Plugin: @videolan.org/vlc,version=2.0.3 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: No Name - C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\Extensions\7125a285-7e68-47aa-9d72-e81874f4d47e@d3fcdb92-135d-4a8a-8cf6-11e3b57c5fda.com
FF Extension: Yahoo! Toolbar - C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\Extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKCU\...\Firefox\Extensions: [{F7EC2BAD-F77B-4020-B3C6-58B97D0859E5}] C:\Program Files\Super_Lyrics\120.xpi
FF Extension: No Name - C:\Program Files\Super_Lyrics\120.xpi

Chrome: 
=======
CHR Extension: (Plus-HD-2.3) - C:\Users\IMPERA~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\omfoidjpeklpjhlhabhcomekbkclkbec\1.23.17_0

========================== Services (Whitelisted) =================

R2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-08-13] ()
R2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION)
R2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION)
R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation)
R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation)
R2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [537592 2012-08-03] (Cisco Systems, Inc.)

==================== Drivers (Whitelisted) ====================

S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [87976 2012-08-03] (Cisco Systems, Inc.)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-14 16:03 - 2013-07-14 16:04 - 01218214 _____ (Farbar) C:\Users\Imperator\Downloads\FRST.exe
2013-07-14 15:52 - 2013-07-14 15:52 - 00559306 _____ (Oleg N. Scherbakov) C:\Users\Imperator\Desktop\JRT07.exe
2013-07-14 15:45 - 2013-07-14 15:46 - 00006662 _____ C:\AdwCleaner[S1].txt
2013-07-14 15:44 - 2013-07-14 15:45 - 00006486 _____ C:\AdwCleaner[R1].txt
2013-07-14 15:41 - 2013-07-14 15:42 - 00650027 _____ C:\Users\Imperator\Downloads\adwcleaner_2.3.0.4.exe
2013-07-14 14:28 - 2013-07-14 15:48 - 00001194 _____ C:\Windows\Tasks\Plus-HD-2.3-codedownloader.job
2013-07-14 14:28 - 2013-07-14 15:48 - 00001190 _____ C:\Windows\Tasks\Plus-HD-2.3-updater.job
2013-07-14 14:28 - 2013-07-14 15:48 - 00001094 _____ C:\Windows\Tasks\Plus-HD-2.3-enabler.job
2013-07-14 14:27 - 2013-07-14 15:48 - 00001890 _____ C:\Windows\Tasks\Plus-HD-2.3-chromeinstaller.job
2013-07-14 14:27 - 2013-07-14 15:48 - 00001814 _____ C:\Windows\Tasks\Plus-HD-2.3-firefoxinstaller.job
2013-07-14 14:27 - 2013-07-14 15:48 - 00000384 _____ C:\Windows\Tasks\Super Lyrics Update.job
2013-07-14 14:27 - 2013-07-14 14:28 - 00000000 ____D C:\Program Files\Plus-HD-2.3
2013-07-14 14:27 - 2013-07-14 14:27 - 00001030 _____ C:\Users\Public\Desktop\Open It!.lnk
2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Zip Opener Packages
2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\Super_Lyrics
2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\OpenIt
2013-07-14 14:25 - 2013-07-14 14:25 - 00793536 _____ C:\Users\Imperator\Downloads\ZipOpenerSetup.exe
2013-07-13 03:37 - 2013-07-13 13:48 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-13 01:32 - 2013-07-13 01:32 - 00000000 ____D C:\FRST
2013-07-13 01:13 - 2013-07-14 15:59 - 00089345 _____ C:\Windows\WindowsUpdate.log
2013-07-12 23:59 - 2013-07-14 15:48 - 00065536 _____ C:\Windows\system32\Ikeext.etl
2013-07-12 23:58 - 2013-07-14 15:48 - 00000840 _____ C:\Windows\setupact.log
2013-07-09 11:30 - 2013-07-09 11:30 - 00000000 ____D C:\Windows\system32\SPReview
2013-07-02 22:40 - 2013-07-02 22:40 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-27 11:29 - 2013-06-27 11:30 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern
2013-06-22 09:10 - 2013-06-02 17:21 - 73381792 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-06-20 22:17 - 2013-07-14 15:48 - 00000437 _____ C:\Windows\system32\Drivers\etc\hosts.ics

==================== One Month Modified Files and Folders =======

2013-07-14 16:04 - 2013-07-14 16:03 - 01218214 _____ (Farbar) C:\Users\Imperator\Downloads\FRST.exe
2013-07-14 16:01 - 2013-07-13 01:13 - 00089345 _____ C:\Windows\WindowsUpdate.log
2013-07-14 15:55 - 2009-07-14 06:34 - 00013456 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-14 15:55 - 2009-07-14 06:34 - 00013456 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-14 15:54 - 2012-08-06 20:43 - 01498506 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-14 15:53 - 2012-08-06 20:28 - 00000000 ___RD C:\Users\Imperator\Desktop
2013-07-14 15:52 - 2013-07-14 15:52 - 00559306 _____ (Oleg N. Scherbakov) C:\Users\Imperator\Desktop\JRT07.exe
2013-07-14 15:49 - 2012-08-09 13:53 - 00000000 ___RD C:\Users\Imperator\Dropbox
2013-07-14 15:49 - 2012-08-09 13:46 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Dropbox
2013-07-14 15:48 - 2013-07-14 14:28 - 00001194 _____ C:\Windows\Tasks\Plus-HD-2.3-codedownloader.job
2013-07-14 15:48 - 2013-07-14 14:28 - 00001190 _____ C:\Windows\Tasks\Plus-HD-2.3-updater.job
2013-07-14 15:48 - 2013-07-14 14:28 - 00001094 _____ C:\Windows\Tasks\Plus-HD-2.3-enabler.job
2013-07-14 15:48 - 2013-07-14 14:27 - 00001890 _____ C:\Windows\Tasks\Plus-HD-2.3-chromeinstaller.job
2013-07-14 15:48 - 2013-07-14 14:27 - 00001814 _____ C:\Windows\Tasks\Plus-HD-2.3-firefoxinstaller.job
2013-07-14 15:48 - 2013-07-14 14:27 - 00000384 _____ C:\Windows\Tasks\Super Lyrics Update.job
2013-07-14 15:48 - 2013-07-12 23:59 - 00065536 _____ C:\Windows\system32\Ikeext.etl
2013-07-14 15:48 - 2013-07-12 23:58 - 00000840 _____ C:\Windows\setupact.log
2013-07-14 15:48 - 2013-06-20 22:17 - 00000437 _____ C:\Windows\system32\Drivers\etc\hosts.ics
2013-07-14 15:48 - 2012-08-25 00:25 - 00001100 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-14 15:48 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-14 15:47 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\tracing
2013-07-14 15:46 - 2013-07-14 15:45 - 00006662 _____ C:\AdwCleaner[S1].txt
2013-07-14 15:45 - 2013-07-14 15:44 - 00006486 _____ C:\AdwCleaner[R1].txt
2013-07-14 15:42 - 2013-07-14 15:41 - 00650027 _____ C:\Users\Imperator\Downloads\adwcleaner_2.3.0.4.exe
2013-07-14 15:41 - 2012-08-25 00:25 - 00001104 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-14 15:35 - 2012-08-26 00:23 - 00002998 _____ C:\Windows\PFRO.log
2013-07-14 14:28 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\Plus-HD-2.3
2013-07-14 14:27 - 2013-07-14 14:27 - 00001030 _____ C:\Users\Public\Desktop\Open It!.lnk
2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Zip Opener Packages
2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\Super_Lyrics
2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\OpenIt
2013-07-14 14:27 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Desktop
2013-07-14 14:25 - 2013-07-14 14:25 - 00793536 _____ C:\Users\Imperator\Downloads\ZipOpenerSetup.exe
2013-07-14 14:22 - 2012-08-09 14:00 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Skype
2013-07-14 14:19 - 2013-04-21 16:27 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-14 14:18 - 2009-07-14 06:53 - 00032630 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-13 13:48 - 2013-07-13 03:37 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-13 01:32 - 2013-07-13 01:32 - 00000000 ____D C:\FRST
2013-07-09 16:48 - 2012-08-06 21:47 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-07-09 11:30 - 2013-07-09 11:30 - 00000000 ____D C:\Windows\system32\SPReview
2013-07-02 22:40 - 2013-07-02 22:40 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-07-02 16:30 - 2012-05-01 15:05 - 00000000 ____D C:\Users\Imperator\Desktop\Sevilla
2013-06-27 11:30 - 2013-06-27 11:29 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern
2013-06-25 09:40 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Libraries
2013-06-24 23:47 - 2012-08-13 17:29 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\ALDITALKVerbindungsassistent
2013-06-23 17:18 - 2013-01-05 21:48 - 00010348 _____ C:\Users\Imperator\Desktop\Spielzeugausgaben2013.xlsx

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2012-12-12 15:48] - [2012-09-06 18:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E



LastRegBack: 2013-06-24 23:41

==================== End Of Log ============================

--- --- ---

Addition

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 14-07-2013
Ran by Imperator at 2013-07-14 16:06:39
Running from C:\Users\Imperator\Downloads
Boot Mode: Normal
==========================================================

Adobe Flash Player 11 ActiveX (Version: 11.7.700.224)
Adobe Flash Player 11 Plugin (Version: 11.7.700.224)
Adobe Reader X (10.1.3) - Deutsch (Version: 10.1.3)
ALDI TALK Verbindungsassistent (Version: ALDI TALK 4.0)
Cisco AnyConnect Secure Mobility Client  (Version: 3.1.00495)
Cisco AnyConnect Secure Mobility Client (Version: 3.1.00495)
Dropbox (HKCU Version: 2.0.22)
Druckerdeinstallation für EPSON BX525WD Series
EPSON BX525WD Series Handbuch
EPSON BX525WD Series Netzwerk-Handbuch
Epson Easy Photo Print 2 (Version: 2.2.3.0)
Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser) (Version: 1.00.0000)
Epson Event Manager (Version: 2.40.0001)
EPSON Scan
EpsonNet Print (Version: 2.4i)
EpsonNet Setup 3.3 (Version: 3.3a)
Free Solitaire (Version: 5.0)
Google Chrome (Version: 28.0.1500.72)
Google Update Helper (Version: 1.3.21.145)
Java 7 Update 9 (Version: 7.0.90)
Java Auto Updater (Version: 2.1.9.0)
Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300)
Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme (Version: 12.0.4518.1014)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Live Add-in 1.5 (Version: 2.0.4024.1)
Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000)
Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014)
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Small Business 2007 (Version: 12.0.6612.1000)
Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Security Client (Version: 4.2.0223.1)
Microsoft Security Essentials (Version: 4.2.223.1)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Mozilla Firefox 22.0 (x86 de) (Version: 22.0)
Mozilla Maintenance Service (Version: 22.0)
Open It! (Version: 1.1.1)
Plus-HD-2.3 (Version: 1.27.153.8)
RICOH R5U8xx Media Driver ver.3.62.02 (Version: 3.62.02)
Samsung Kies (Version: 2.3.2.12064_10)
SAMSUNG USB Driver for Mobile Phones (Version: 1.5.6.0)
Skype™ 6.3 (Version: 6.3.107)
Super Lyrics
Trojan Remover 6.8.5 (Version: 6.8.5)
TuxGuitar (Version: 1.2)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596660) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596802) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596848) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2687493) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition
Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2817327) 32-Bit Edition
Update for Zip Opener
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Outlook 2007 Help (KB963677)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
VLC media player 2.0.3 (Version: 2.0.3)
WinRAR 4.20 (32-Bit) (Version: 4.20.0)
Zip Opener Packages
 

==================== Restore Points  =========================


==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {2D33C780-4C2C-4F3F-96B8-9D8D69805D3F} - System32\Tasks\Plus-HD-2.3-updater => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-updater.exe [2013-07-14] (Plus HD)
Task: {3886134A-6307-4C0A-8B76-9DC9DFA0E90F} - System32\Tasks\{374C58DD-EFAC-40A5-B252-8B9C5269386C} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File
Task: {44A81215-20E4-426B-B8A3-AE970AC19E59} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2012-08-25] (Google Inc.)
Task: {453DF71F-546A-4C86-8D77-0A0AB9A21F78} - System32\Tasks\{3A5ECE49-7590-42A0-AFF5-E04591A24B8B} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File
Task: {4859794A-052E-4E22-ABC7-83E071E1D4C4} - System32\Tasks\{55A85D38-CD9A-468C-B8C4-C26D35B0EF38} => C:\Program Files\Microsoft OfficeXP\Office10\WINWORD.EXE No File
Task: {5D405C98-2237-4DD1-8E93-C74F10DDBB2A} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => c:\Program Files\Microsoft Security Client\MpCmdRun.exe [2013-01-27] (Microsoft Corporation)
Task: {9EA492FB-7FC0-4BD0-8F85-A907E2C393AF} - System32\Tasks\{A0C33EBB-ABFB-4C97-B9AF-1D6446C88138} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File
Task: {A42F8021-F73D-4B06-B134-B165A9595328} - System32\Tasks\{8522E741-187D-4790-BB67-31B34A4628B4} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File
Task: {AE8C63B8-96F4-4490-991E-8123ED3700B0} - System32\Tasks\Plus-HD-2.3-codedownloader => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-codedownloader.exe [2013-07-14] (Plus HD)
Task: {B17F36D0-5FC4-41E1-97AD-70571A757E13} - System32\Tasks\Plus-HD-2.3-firefoxinstaller => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-firefoxinstaller.exe [2013-07-14] (Plus HD)
Task: {D642AE62-673F-403E-820B-99443CC4A0BB} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2012-08-25] (Google Inc.)
Task: {E25A4047-C4FF-4BAC-BFE6-252A3F3F0C73} - System32\Tasks\{22805D67-FC30-462E-B183-689FAFAC7195} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File
Task: {E372F02D-4583-488A-8CA0-DC3B29091BDD} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe [2010-08-04] (Microsoft Corporation)
Task: {EF1F8B8A-C333-492E-9385-A6BA425F5FBB} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-11] (Adobe Systems Incorporated)
Task: {F0DE367D-1429-4BB8-B8F1-49E1FEB3B00C} - System32\Tasks\Super Lyrics Update => C:\Program Files\Super_Lyrics\SuperLupdater.exe [2013-07-08] (Super Add-on Software)
Task: {F504AD3D-3E51-49F5-A725-E5CB3A966C4B} - System32\Tasks\Plus-HD-2.3-enabler => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-enabler.exe [2013-07-14] (Plus HD)
Task: {FE20EDC4-D6CA-4AE8-8504-8222FB040032} - System32\Tasks\Plus-HD-2.3-chromeinstaller => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-chromeinstaller.exe [2013-07-14] (Plus HD)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\Plus-HD-2.3-chromeinstaller.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-chromeinstaller.exe
Task: C:\Windows\Tasks\Plus-HD-2.3-codedownloader.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-codedownloader.exe
Task: C:\Windows\Tasks\Plus-HD-2.3-enabler.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-enabler.exe
Task: C:\Windows\Tasks\Plus-HD-2.3-firefoxinstaller.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-firefoxinstaller.exe
Task: C:\Windows\Tasks\Plus-HD-2.3-updater.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-updater.exe
Task: C:\Windows\Tasks\Super Lyrics Update.job => C:\Program Files\Super_Lyrics\SuperLupdater.exe

==================== Faulty Device Manager Devices =============

Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Cisco Systems
Service: vpnva
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (07/09/2013 04:46:57 PM) (Source: Software Protection Platform Service) (User: )
Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode:
0x800706BE

Error: (07/09/2013 11:42:00 AM) (Source: Microsoft-Windows-CAPI2) (User: )
Description: Vom Kryptografiedienst konnte das VSS-Sicherungsobjekt "System Writer" nicht initialisiert werden.


Details:
Could not query the status of the EventSystem service.

System Error:
Der Computer wird heruntergefahren.
.

Error: (07/08/2013 09:20:11 AM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 00000114,0x0053c008,003B9EC0,0,003BAEC8,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht.
.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (07/08/2013 09:20:09 AM) (Source: System Restore) (User: )
Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101).

Error: (07/07/2013 08:34:34 AM) (Source: System Restore) (User: )
Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101).

Error: (07/07/2013 08:34:31 AM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 00000114,0x0053c008,0023C680,0,0023D688,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht.
.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (07/06/2013 10:38:47 AM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 0000010C,0x0053c008,002D9EC0,0,002DAEC8,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht.
.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider

Error: (07/06/2013 10:38:46 AM) (Source: System Restore) (User: )
Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101).

Error: (07/05/2013 09:08:08 AM) (Source: System Restore) (User: )
Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101).

Error: (07/05/2013 09:08:08 AM) (Source: VSS) (User: )
Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 0000010C,0x0053c008,0013BFE8,0,0013CFF0,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht.
.


Vorgang:
   EndPrepareSnapshots wird verarbeitet

Kontext:
   Ausführungskontext: System Provider


System errors:
=============
Error: (07/14/2013 03:47:08 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst Windows Update konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden.

Error: (07/14/2013 02:31:37 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst Windows Update konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden.

Error: (07/14/2013 02:22:04 PM) (Source: ipnathlp) (User: )
Description: 0

Error: (07/14/2013 01:56:09 PM) (Source: Microsoft Antimalware) (User: )
Description: Beim Aktualisieren der Signaturen wurde von %NT-AUTORITÄT60 ein Fehler festgestellt.

	Neue Signaturversion: 

	Vorherige Signaturversion: 1.153.1529.0

	Aktualisierungsquelle: %NT-AUTORITÄT59

	Aktualisierungsphase: 4.2.0223.00

	Quellpfad: 4.2.0223.01

	Signaturtyp: %NT-AUTORITÄT602

	Aktualisierungstyp: %NT-AUTORITÄT604

	Benutzer: NT-AUTORITÄT\SYSTEM

	Aktuelle Modulversion: %NT-AUTORITÄT605

	Vorherige Modulversion: %NT-AUTORITÄT606

	Fehlercode: %NT-AUTORITÄT607

	Fehlerbeschreibung: %NT-AUTORITÄT608

Error: (07/14/2013 01:45:22 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Microsoft Antimalware Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 15000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
AFD
CSC
DfsC
discache
MpFilter
NetBIOS
NetBT
nsiproxy
Psched
rdbss
spldr
tdx
vwififlt
Wanarpv6
WfpLwf

Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerkverbindungen" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SMB 2.0-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SMB 1.x-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068


Microsoft Office Sessions:
=========================

==================== Memory info =========================== 

Percentage of memory in use: 49%
Total physical RAM: 3539.17 MB
Available physical RAM: 1789.64 MB
Total Pagefile: 7076.61 MB
Available Pagefile: 5401.06 MB
Total Virtual: 2047.88 MB
Available Virtual: 1912.59 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:148.93 GB) (Free:15.93 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 98DEB064)
Partition 1: (Not Active) - (Size=125 MB) - (Type=DE)
Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS)

==================== End Of Log ============================

schrauber · 14.07.2013, 18:42

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch probleme?

planetofrock · 14.07.2013, 22:53

Sorry, soweit bin ich nicht mehr gekommen.
War der Laptop eines Freundes der ihn unbedingt jetzt brauchte, da er in einpaar Wochen seine Doktorarbeit abgeben muss.
Hab aber noch Avira drüber laufen lassen und alle Viren die es gefunden hat entsorgen lassen.

Auf jeden Fall ein RIESIGES Dankeschön für die Hilfe.
Ist echt klasse von euch!

schrauber · 15.07.2013, 08:08

Gern Geschehen

13.07.2013, 15:04	#4
schrauber /// the machine /// TB-Ausbilder	GVU-Trojaner beendet abgesicherten Modus What? Poste mal ein frisches Scanlog aus der Recovery. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

14.07.2013, 12:34	#6
schrauber /// the machine /// TB-Ausbilder	GVU-Trojaner beendet abgesicherten Modus Der Sperrbildschirm kommt immer noch? Das Log ist total sauber. Versuchs nochmal, versuch auch die 3 abgesicherten Modi. __________________ --> GVU-Trojaner beendet abgesicherten Modus

15.07.2013, 08:08	#12
schrauber /// the machine /// TB-Ausbilder	GVU-Trojaner beendet abgesicherten Modus Gern Geschehen __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

GVU-Trojaner beendet abgesicherten Modus

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner beendet abgesicherten Modus