GVU Trojaner - nichts geht mehr

kweb · 07.08.2013, 21:07

Sorry ich sollte deinen Post weiterlesen....txt folgt....

Hi,
hier dir FRST.TXT

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 07-08-2013 05
Ran by SYSTEM on 08-08-2013 00:01:07
Running from L:\
Windows 7 Ultimate (X86) OS Language: English(US)
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [StartCCC] - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [343168 2011-12-05] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [254696 2012-01-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [Malwarebytes' Anti-Malware] - C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe [462920 2012-07-03] (Malwarebytes Corporation)
HKLM\...\Run: [AVP] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe [356376 2012-12-03] (Kaspersky Lab ZAO)
HKLM\...\Run: [SMB60StarMoneyRunEntry] - C:\Program Files\StarMoney Business 6.0\app\oflagent.exe [48272 2013-07-23] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avnotify.exe <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avnotify.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKU\kweb\...\Run: [IBP] -  [x]
HKU\kweb\...\Run: [GoogleChromeAutoLaunch_6B8A557F5130AF1A66532C91D636BB97] - C:\Users\kweb\AppData\Local\Google\Chrome\Application\chrome.exe [ 2013-07-24] (Google Inc.)
HKU\kweb\...\Run: [Google Update] - C:\Users\kweb\AppData\Local\Google\Update\GoogleUpdate.exe [ 2011-11-21] (Google Inc.)
HKU\kweb\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\kweb\AppData\Local\Temp\ixxmwhflaocowlriu.exe [x] <===== ATTENTION
HKU\kweb\...\Winlogon: [Shell] cmd.exe <==== ATTENTION 
HKU\kweb\...\Command Processor: "C:\Users\kweb\AppData\Local\Temp\ixxmwhflaocowlriu.exe" <===== ATTENTION!
Startup: C:\Users\kweb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HP SimpleSave Monitor.lnk
ShortcutTarget: HP SimpleSave Monitor.lnk ->  (No File)
Startup: C:\Users\kweb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iknewcbxdxcbpjeojdn.lnk
ShortcutTarget: iknewcbxdxcbpjeojdn.lnk -> C:\Users\kweb\AppData\Local\Temp\ndjoejpbcxdxbcwenki.bfg ()

========================== Services (Whitelisted) =================

S2 AAV UpdateService; C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
S2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [291840 2011-12-05] (Advanced Micro Devices, Inc.)
S2 AVP; C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe [356376 2012-12-03] (Kaspersky Lab ZAO)
S2 BackupService; C:\Users\kweb\AppData\Roaming\HP SimpleSave Application\uUACTokenSvc.exe [83512 2010-07-01] (ArcSoft, Inc.)
S3 DriveSitterService; C:\Program Files\Common Files\DriveSitter\DSSrv.exe [188416 2009-02-14] (Oliver Marr)
S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [655944 2012-07-03] (Malwarebytes Corporation)
S2 StarMoney 9.0 OnlineUpdate; C:\Program Files\StarMoney 9.0\ouservice\StarMoneyOnlineUpdate.exe [663184 2013-06-13] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
S2 StarMoney Business 6.0 OnlineUpdate; C:\Program Files\StarMoney Business 6.0\ouservice\StarMoneyOnlineUpdate.exe [663184 2013-06-13] (Star Finanz-Software Entwicklung und Vertriebs GmbH)
S2 UMVPFSrv; C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [450848 2011-08-19] (Logitech Inc.)
S2 Apache2.2; "F:\Projekte\xampp\apache\bin\httpd.exe" -k runservice [x]
S2 mysql; F:\Projekte\xampp\mysql\bin\mysqld.exe --defaults-file=F:\Projekte\xampp\mysql\bin\my.ini mysql [x]

==================== Drivers (Whitelisted) ====================

S2 AODDriver4.01; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys [39424 2011-06-24] (Advanced Micro Devices)
S3 athur; C:\Windows\System32\DRIVERS\athur.sys [1559552 2012-05-31] (Atheros Communications, Inc.)
S3 CompFilter; C:\Windows\System32\DRIVERS\lvbusflt.sys [22176 2011-08-19] (Logitech Inc.)
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [239168 2011-11-21] (DT Soft Ltd)
S1 ISODrive; C:\Program Files\UltraISO\drivers\ISODrive.sys [82320 2010-01-29] (EZB Systems, Inc.)
S0 KL1; C:\Windows\System32\DRIVERS\kl1.sys [136024 2012-06-19] (Kaspersky Lab ZAO)
S1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [594528 2013-04-22] (Kaspersky Lab ZAO)
S1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [24408 2012-08-02] (Kaspersky Lab ZAO)
S3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [25944 2012-12-03] (Kaspersky Lab)
S3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [25944 2012-12-03] (Kaspersky Lab)
S1 kltdi; C:\Windows\System32\DRIVERS\kltdi.sys [44000 2013-06-18] (Kaspersky Lab ZAO)
S1 kneps; C:\Windows\System32\DRIVERS\kneps.sys [145040 2013-04-22] (Kaspersky Lab ZAO)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22344 2012-07-03] (Malwarebytes Corporation)
S1 PStrip; C:\Windows\System32\drivers\pstrip.sys [27992 2007-07-14] (EnTech Taiwan)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-07 18:45 - 2013-08-07 18:45 - 00071550 _____ C:\OTL1.txt
2013-08-02 03:53 - 2013-08-02 03:53 - 06961249 _____ C:\Users\kweb\Downloads\Joomla_2.5.14-Stable-Update_Package.zip
2013-08-02 03:51 - 2013-08-02 03:51 - 03618376 _____ C:\Users\kweb\Downloads\d0106acf.sql
2013-08-01 16:26 - 2013-08-01 16:27 - 03588234 _____ C:\Users\kweb\Downloads\Joomla_2.5.x_to_2.5.14-Stable-Patch_Package.zip
2013-07-30 16:07 - 2013-07-30 16:07 - 00891098 _____ C:\Users\kweb\Downloads\SecurityCheck.exe
2013-07-29 17:50 - 2013-07-29 17:50 - 00007450 _____ C:\Users\kweb\Downloads\104_135333035750aa2eb5ae420_plain.zip
2013-07-29 16:27 - 2013-07-29 16:27 - 00361894 _____ C:\Users\kweb\Documents\exportxml.txt
2013-07-29 16:07 - 2013-07-29 16:21 - 00405726 _____ C:\Users\kweb\Downloads\export_google1.txt
2013-07-29 15:56 - 2013-07-29 15:57 - 00358730 _____ C:\Users\kweb\Downloads\export_google.txt
2013-07-29 15:51 - 2013-07-29 15:51 - 00000053 _____ C:\Users\kweb\Downloads\google8866851ae80cbd8a.html
2013-07-29 15:48 - 2013-07-29 15:48 - 00000000 ____D C:\Program Files\ESET
2013-07-29 15:47 - 2013-07-29 15:48 - 02347384 _____ (ESET) C:\Users\kweb\Downloads\esetsmartinstaller_enu.exe
2013-07-29 15:08 - 2013-07-29 15:08 - 00002170 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-07-29 14:59 - 2013-07-29 14:59 - 00000000 ____D C:\_OTL
2013-07-29 13:13 - 2013-07-29 13:13 - 00022063 _____ C:\Users\kweb\Documents\Addition.txt
2013-07-29 13:12 - 2013-07-29 13:13 - 00031443 _____ C:\Users\kweb\Documents\FRST.txt
2013-07-29 13:12 - 2013-07-29 13:12 - 00031345 _____ C:\Users\kweb\Downloads\FRST.txt
2013-07-29 13:12 - 2013-07-29 13:12 - 00022056 _____ C:\Users\kweb\Downloads\Addition.txt
2013-07-29 13:11 - 2013-07-29 13:11 - 00000000 ____D C:\FRST
2013-07-29 13:10 - 2013-07-29 13:10 - 01221130 _____ (Farbar) C:\Users\kweb\Downloads\FRST.exe
2013-07-29 13:05 - 2013-07-29 13:05 - 00562353 _____ (Oleg N. Scherbakov) C:\Users\kweb\Downloads\JRT(1).exe
2013-07-29 13:04 - 2013-07-29 13:04 - 00562353 _____ (Oleg N. Scherbakov) C:\Users\kweb\Downloads\JRT.exe
2013-07-29 12:52 - 2013-07-29 12:53 - 00009120 _____ C:\AdwCleaner[S2].txt
2013-07-29 12:52 - 2013-07-29 12:52 - 00009035 _____ C:\AdwCleaner[R2].txt
2013-07-29 12:42 - 2013-08-07 18:47 - 00071774 _____ C:\OTL.Txt
2013-07-29 12:18 - 2013-07-29 12:18 - 00000314 _____ C:\AdwCleaner[S1].txt
2013-07-29 12:13 - 2013-07-29 12:14 - 00008916 _____ C:\AdwCleaner[R1].txt
2013-07-29 12:12 - 2013-07-29 12:16 - 00666633 _____ C:\Users\kweb\Downloads\adwcleaner.exe
2013-07-29 11:55 - 2013-07-29 11:55 - 00001120 _____ C:\Users\kweb\Desktop\Continue Zip Opener Installation.lnk
2013-07-29 11:53 - 2013-07-29 11:56 - 00717160 _____ C:\Users\kweb\Downloads\ZipOpenerSetup.exe
2013-07-29 04:39 - 2013-07-29 04:39 - 00000000 __SHD C:\found.000
2013-07-28 19:15 - 2013-07-29 06:28 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-26 05:03 - 2013-07-26 05:04 - 03587540 _____ C:\Users\kweb\Downloads\Joomla_2.5.x_to_2.5.13-Stable-Patch_Package.zip
2013-07-25 19:16 - 2013-07-25 19:16 - 00500556 _____ C:\Users\kweb\Downloads\flexxi_3.0.0.zip
2013-07-25 19:04 - 2013-07-25 19:04 - 00469424 _____ C:\Users\kweb\Downloads\mod_jmslideshow.zip
2013-07-24 18:51 - 2013-07-24 18:51 - 00358585 _____ C:\Users\kweb\Downloads\export(1).txt
2013-07-24 18:44 - 2013-07-24 18:44 - 00092225 _____ C:\Users\kweb\Downloads\export.txt
2013-07-24 18:21 - 2013-07-24 18:21 - 00026721 _____ C:\Users\kweb\Downloads\626_137353690151de8285772dd_plain.zip
2013-07-24 06:18 - 2013-07-24 06:18 - 02374616 _____ C:\Users\kweb\Downloads\d01765ae(3).sql
2013-07-23 18:25 - 2013-07-23 18:26 - 77021736 _____ C:\Users\kweb\Downloads\Cro_Sunny.zip
2013-07-22 17:54 - 2013-07-22 17:54 - 00272370 _____ C:\Users\kweb\Downloads\export.articles.2013.07.22.csv
2013-07-21 16:03 - 2013-07-21 16:03 - 00659416 _____ C:\Users\kweb\Downloads\MySQLDumper1.24.4(1).zip
2013-07-17 18:59 - 2013-07-17 18:59 - 00001188 _____ C:\Users\kweb\Downloads\sitemap(8).xml
2013-07-17 18:57 - 2013-07-17 18:57 - 01274880 _____ C:\Users\kweb\Downloads\sitemap_win-beta1-20091231.msi
2013-07-17 18:52 - 2013-07-17 18:52 - 00000053 _____ C:\Users\kweb\Downloads\googlec2194d379989af28(2).html
2013-07-17 17:03 - 2013-07-17 17:04 - 11100343 _____ C:\Users\kweb\Downloads\web152_db2.sql.gz
2013-07-17 16:53 - 2013-07-17 16:54 - 107355306 _____ C:\Users\kweb\Downloads\web152_db2(2).sql
2013-07-17 16:52 - 2013-07-17 16:52 - 00698153 _____ C:\Users\kweb\Downloads\web152_db1(2).sql
2013-07-16 19:08 - 2013-07-16 19:08 - 00379864 _____ C:\Users\kweb\Downloads\d015a4f4.sql
2013-07-16 17:26 - 2013-07-16 17:26 - 00002063 _____ C:\Users\Public\Desktop\StarMoney Business 6.0.lnk
2013-07-16 17:24 - 2013-08-06 19:18 - 00000000 ____D C:\Program Files\StarMoney Business 6.0
2013-07-16 17:19 - 2013-07-16 17:20 - 184705416 _____ C:\Users\kweb\Downloads\smoney(1).exe
2013-07-15 14:58 - 2013-07-15 14:58 - 00000000 ____D C:\Program Files\GUMBA50.tmp
2013-07-15 08:29 - 2013-07-15 08:29 - 12287397 _____ C:\Users\kweb\Downloads\demogastware.zip
2013-07-14 11:27 - 2013-07-23 18:31 - 00262144 _____ C:\Windows\System32\config\elam

==================== One Month Modified Files and Folders =======

2013-08-07 18:47 - 2013-07-29 12:42 - 00071774 _____ C:\OTL.Txt
2013-08-07 18:45 - 2013-08-07 18:45 - 00071550 _____ C:\OTL1.txt
2013-08-07 13:07 - 2009-07-14 00:34 - 00016944 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-07 13:07 - 2009-07-14 00:34 - 00016944 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-07 13:03 - 2011-12-12 18:41 - 00117848 _____ C:\Windows\setupact.log
2013-08-07 13:02 - 2011-11-21 05:26 - 01322573 _____ C:\Windows\WindowsUpdate.log
2013-08-07 11:22 - 2011-12-05 06:12 - 00000000 ____D C:\Users\kweb\AppData\Roaming\Skype
2013-08-06 20:35 - 2013-06-26 07:31 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-08-06 19:18 - 2013-07-16 17:24 - 00000000 ____D C:\Program Files\StarMoney Business 6.0
2013-08-06 15:43 - 2013-07-02 05:40 - 00000000 ____D C:\Program Files\StarMoney 9.0
2013-08-05 21:09 - 2012-03-21 18:14 - 00000000 ____D C:\Users\kweb\AppData\Roaming\IBP
2013-08-03 12:46 - 2011-11-21 06:11 - 00000000 ____D C:\Users\kweb\AppData\Roaming\Adobe
2013-08-03 09:01 - 2011-11-21 05:36 - 00004568 _____ C:\Windows\System32\PerfStringBackup.INI
2013-08-02 04:01 - 2011-11-21 05:45 - 00000000 ____D C:\Program Files\phase5
2013-08-02 03:53 - 2013-08-02 03:53 - 06961249 _____ C:\Users\kweb\Downloads\Joomla_2.5.14-Stable-Update_Package.zip
2013-08-02 03:51 - 2013-08-02 03:51 - 03618376 _____ C:\Users\kweb\Downloads\d0106acf.sql
2013-08-01 16:27 - 2013-08-01 16:26 - 03588234 _____ C:\Users\kweb\Downloads\Joomla_2.5.x_to_2.5.14-Stable-Patch_Package.zip
2013-08-01 14:18 - 2009-07-13 22:37 - 00000000 ____D C:\Windows\System32\NDF
2013-08-01 04:02 - 2011-11-21 06:43 - 00002362 _____ C:\Users\kweb\Desktop\Google Chrome.lnk
2013-07-30 16:07 - 2013-07-30 16:07 - 00891098 _____ C:\Users\kweb\Downloads\SecurityCheck.exe
2013-07-29 17:50 - 2013-07-29 17:50 - 00007450 _____ C:\Users\kweb\Downloads\104_135333035750aa2eb5ae420_plain.zip
2013-07-29 16:27 - 2013-07-29 16:27 - 00361894 _____ C:\Users\kweb\Documents\exportxml.txt
2013-07-29 16:21 - 2013-07-29 16:07 - 00405726 _____ C:\Users\kweb\Downloads\export_google1.txt
2013-07-29 15:57 - 2013-07-29 15:56 - 00358730 _____ C:\Users\kweb\Downloads\export_google.txt
2013-07-29 15:51 - 2013-07-29 15:51 - 00000053 _____ C:\Users\kweb\Downloads\google8866851ae80cbd8a.html
2013-07-29 15:48 - 2013-07-29 15:48 - 00000000 ____D C:\Program Files\ESET
2013-07-29 15:48 - 2013-07-29 15:47 - 02347384 _____ (ESET) C:\Users\kweb\Downloads\esetsmartinstaller_enu.exe
2013-07-29 15:08 - 2013-07-29 15:08 - 00002170 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-07-29 15:07 - 2012-02-27 19:10 - 00000000 ____D C:\Program Files\Google
2013-07-29 14:59 - 2013-07-29 14:59 - 00000000 ____D C:\_OTL
2013-07-29 13:20 - 2011-11-21 06:41 - 00000000 ____D C:\Users\kweb\AppData\Local\Google
2013-07-29 13:13 - 2013-07-29 13:13 - 00022063 _____ C:\Users\kweb\Documents\Addition.txt
2013-07-29 13:13 - 2013-07-29 13:12 - 00031443 _____ C:\Users\kweb\Documents\FRST.txt
2013-07-29 13:12 - 2013-07-29 13:12 - 00031345 _____ C:\Users\kweb\Downloads\FRST.txt
2013-07-29 13:12 - 2013-07-29 13:12 - 00022056 _____ C:\Users\kweb\Downloads\Addition.txt
2013-07-29 13:11 - 2013-07-29 13:11 - 00000000 ____D C:\FRST
2013-07-29 13:10 - 2013-07-29 13:10 - 01221130 _____ (Farbar) C:\Users\kweb\Downloads\FRST.exe
2013-07-29 13:05 - 2013-07-29 13:05 - 00562353 _____ (Oleg N. Scherbakov) C:\Users\kweb\Downloads\JRT(1).exe
2013-07-29 13:04 - 2013-07-29 13:04 - 00562353 _____ (Oleg N. Scherbakov) C:\Users\kweb\Downloads\JRT.exe
2013-07-29 12:53 - 2013-07-29 12:52 - 00009120 _____ C:\AdwCleaner[S2].txt
2013-07-29 12:52 - 2013-07-29 12:52 - 00009035 _____ C:\AdwCleaner[R2].txt
2013-07-29 12:40 - 2011-11-21 09:40 - 00000000 ____D C:\users\Gast
2013-07-29 12:40 - 2011-11-21 05:34 - 00000000 ____D C:\users\kweb
2013-07-29 12:18 - 2013-07-29 12:18 - 00000314 _____ C:\AdwCleaner[S1].txt
2013-07-29 12:16 - 2013-07-29 12:12 - 00666633 _____ C:\Users\kweb\Downloads\adwcleaner.exe
2013-07-29 12:14 - 2013-07-29 12:13 - 00008916 _____ C:\AdwCleaner[R1].txt
2013-07-29 11:56 - 2013-07-29 11:53 - 00717160 _____ C:\Users\kweb\Downloads\ZipOpenerSetup.exe
2013-07-29 11:55 - 2013-07-29 11:55 - 00001120 _____ C:\Users\kweb\Desktop\Continue Zip Opener Installation.lnk
2013-07-29 06:28 - 2013-07-28 19:15 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0
2013-07-29 04:39 - 2013-07-29 04:39 - 00000000 __SHD C:\found.000
2013-07-28 13:29 - 2011-11-22 12:13 - 00000000 ____D C:\Users\Gast\AppData\Roaming\Adobe
2013-07-28 13:27 - 2011-11-21 09:40 - 00084616 _____ C:\Users\Gast\AppData\Local\GDIPFONTCACHEV1.DAT
2013-07-26 05:04 - 2013-07-26 05:03 - 03587540 _____ C:\Users\kweb\Downloads\Joomla_2.5.x_to_2.5.13-Stable-Patch_Package.zip
2013-07-25 19:16 - 2013-07-25 19:16 - 00500556 _____ C:\Users\kweb\Downloads\flexxi_3.0.0.zip
2013-07-25 19:04 - 2013-07-25 19:04 - 00469424 _____ C:\Users\kweb\Downloads\mod_jmslideshow.zip
2013-07-24 18:51 - 2013-07-24 18:51 - 00358585 _____ C:\Users\kweb\Downloads\export(1).txt
2013-07-24 18:44 - 2013-07-24 18:44 - 00092225 _____ C:\Users\kweb\Downloads\export.txt
2013-07-24 18:21 - 2013-07-24 18:21 - 00026721 _____ C:\Users\kweb\Downloads\626_137353690151de8285772dd_plain.zip
2013-07-24 06:18 - 2013-07-24 06:18 - 02374616 _____ C:\Users\kweb\Downloads\d01765ae(3).sql
2013-07-23 18:31 - 2013-07-14 11:27 - 00262144 _____ C:\Windows\System32\config\elam
2013-07-23 18:26 - 2013-07-23 18:25 - 77021736 _____ C:\Users\kweb\Downloads\Cro_Sunny.zip
2013-07-22 17:54 - 2013-07-22 17:54 - 00272370 _____ C:\Users\kweb\Downloads\export.articles.2013.07.22.csv
2013-07-21 16:03 - 2013-07-21 16:03 - 00659416 _____ C:\Users\kweb\Downloads\MySQLDumper1.24.4(1).zip
2013-07-20 07:07 - 2009-07-14 00:33 - 01699944 _____ C:\Windows\System32\FNTCACHE.DAT
2013-07-18 05:22 - 2011-11-21 06:28 - 00084616 _____ C:\Users\kweb\AppData\Local\GDIPFONTCACHEV1.DAT
2013-07-17 18:59 - 2013-07-17 18:59 - 00001188 _____ C:\Users\kweb\Downloads\sitemap(8).xml
2013-07-17 18:57 - 2013-07-17 18:57 - 01274880 _____ C:\Users\kweb\Downloads\sitemap_win-beta1-20091231.msi
2013-07-17 18:52 - 2013-07-17 18:52 - 00000053 _____ C:\Users\kweb\Downloads\googlec2194d379989af28(2).html
2013-07-17 17:04 - 2013-07-17 17:03 - 11100343 _____ C:\Users\kweb\Downloads\web152_db2.sql.gz
2013-07-17 16:54 - 2013-07-17 16:53 - 107355306 _____ C:\Users\kweb\Downloads\web152_db2(2).sql
2013-07-17 16:52 - 2013-07-17 16:52 - 00698153 _____ C:\Users\kweb\Downloads\web152_db1(2).sql
2013-07-16 19:08 - 2013-07-16 19:08 - 00379864 _____ C:\Users\kweb\Downloads\d015a4f4.sql
2013-07-16 17:26 - 2013-07-16 17:26 - 00002063 _____ C:\Users\Public\Desktop\StarMoney Business 6.0.lnk
2013-07-16 17:25 - 2009-07-13 22:04 - 00017486 _____ C:\Windows\System32\Drivers\etc\services
2013-07-16 17:21 - 2011-11-21 08:01 - 00000000 ___HD C:\Program Files\InstallShield Installation Information
2013-07-16 17:20 - 2013-07-16 17:19 - 184705416 _____ C:\Users\kweb\Downloads\smoney(1).exe
2013-07-15 14:58 - 2013-07-15 14:58 - 00000000 ____D C:\Program Files\GUMBA50.tmp
2013-07-15 08:29 - 2013-07-15 08:29 - 12287397 _____ C:\Users\kweb\Downloads\demogastware.zip
2013-07-15 07:53 - 2012-01-09 15:35 - 00020866 _____ C:\Windows\PFRO.log
2013-07-14 07:05 - 2013-03-08 07:29 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-07-14 07:05 - 2012-05-04 16:26 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 9%
Total physical RAM: 3070.42 MB
Available physical RAM: 2769.87 MB
Total Pagefile: 2895.13 MB
Available Pagefile: 2822.38 MB
Total Virtual: 2047.88 MB
Available Virtual: 1985.86 MB

==================== Drives ================================

Drive b: (RAMDisk) (Fixed) (Total:0.06 GB) (Free:0.06 GB) NTFS
Drive c: () (Fixed) (Total:127.99 GB) (Free:5.65 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive d: (Volume) (Fixed) (Total:634.77 GB) (Free:10.3 GB) NTFS
Drive e: (SMI LABEL) (Removable) (Total:7.45 GB) (Free:0.29 GB) FAT32
Drive i: (Games) (Fixed) (Total:337.77 GB) (Free:163.26 GB) NTFS
Drive j: (Webdesign) (Fixed) (Total:296.74 GB) (Free:261.31 GB) NTFS
Drive l: (HITMANPRO) (Removable) (Total:0.95 GB) (Free:0.95 GB) FAT32
Drive x: (ReatogoPE) (CDROM) (Total:0.43 GB) (Free:0 GB) CDFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 00000001)
Partition 1: (Active) - (Size=128 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=338 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: 806FC3B9)
Partition 1: (Not Active) - (Size=635 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=297 GB) - (Type=07 NTFS)

========================================================
Disk: 3 (Size: 7 GB) (Disk ID: F71BF71B)
Partition 1: (Active) - (Size=7 GB) - (Type=0B)

========================================================
Disk: 6 (Size: 988 MB) (Disk ID: A525C2C5)
Partition 1: (Active) - (Size=981 MB) - (Type=0B)


LastRegBack: 2013-08-02 05:16

==================== End Of Log ============================

--- --- ---

--- --- ---

schrauber · 08.08.2013, 08:43

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avnotify.exe <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avnotify.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKU\kweb\...\Run: [IBP] -  [x]
HKU\kweb\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\kweb\AppData\Local\Temp\ixxmwhflaocowlriu.exe [x] <===== ATTENTION
HKU\kweb\...\Winlogon: [Shell] cmd.exe <==== ATTENTION 
HKU\kweb\...\Command Processor: "C:\Users\kweb\AppData\Local\Temp\ixxmwhflaocowlriu.exe" <===== ATTENTION!
Startup: C:\Users\kweb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iknewcbxdxcbpjeojdn.lnk
ShortcutTarget: iknewcbxdxcbpjeojdn.lnk -> C:\Users\kweb\AppData\Local\Temp\ndjoejpbcxdxbcwenki.bfg ()
C:\Users\kweb\AppData\Local\Temp\ixxmwhflaocowlriu.exe
C:\Users\kweb\AppData\Local\Temp\ndjoejpbcxdxbcwenki.bfg
C:\Users\kweb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iknewcbxdxcbpjeojdn.lnk

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

normal booten bitte.

kweb · 08.08.2013, 22:08

Hi, hier der Inhalt:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 07-08-2013 05
Ran by SYSTEM at 2013-08-09 00:42:42 Run:1
Running from L:\
Boot Mode: Recovery

==============================================

HKLM => Group Policy Restriction on software restored successfully.
HKLM => Group Policy Restriction on software restored successfully.
HKLM => Group Policy Restriction on software restored successfully.
HKLM => Group Policy Restriction on software restored successfully.
HKU\kweb\Software\Microsoft\Windows\CurrentVersion\Run\\IBP => Value deleted successfully.
HKU\kweb\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
HKU\kweb\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\kweb\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\Users\kweb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iknewcbxdxcbpjeojdn.lnk => Moved successfully.
ShortcutTarget: iknewcbxdxcbpjeojdn.lnk -> C:\Users\kweb\AppData\Local\Temp\ndjoejpbcxdxbcwenki.bfg () not found.
"C:\Users\kweb\AppData\Local\Temp\ixxmwhflaocowlriu.exe" => File/Directory not found.
C:\Users\kweb\AppData\Local\Temp\ndjoejpbcxdxbcwenki.bfg => Moved successfully.
"C:\Users\kweb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iknewcbxdxcbpjeojdn.lnk" => File/Directory not found.

==== End of Fixlog ====

Anti Malware hat mir das hier ausgespuckt....

Code:

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.08.07

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
kweb :: KWEB-PC [Administrator]

09.08.2013 00:55:07
mbam-log-2013-08-09 (00-55-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 236347
Laufzeit: 8 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\kweb\AppData\Local\Temp\is357113909\DeltaTB.exe (PUP.Optional.Delta.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\kweb\Downloads\SoftonicDownloader_fuer_foxit-pdf-reader.exe (PUP.Optional.Softonic) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\3a4d26.msi (Worm.Waledac) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{F839F1E5-21C7-4E5F-AAC8-E59649174154}\Lexware faktura+auftrag 2007.msi (Worm.Waledac) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

schrauber · 09.08.2013, 10:35

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

kweb · 09.08.2013, 10:57

Hier schonmal vom AdwCleaner:

Code:

ATTFilter

# AdwCleaner v2.306 - Datei am 09/08/2013 um 13:51:14 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate  (32 bits)
# Benutzer : kweb - KWEB-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\kweb\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7600.16869

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\kweb\AppData\Roaming\Mozilla\Firefox\Profiles\r2ll7rs5.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\qczfr3kv.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v28.0.1500.95

Datei : C:\Users\kweb\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

-\\ Opera v12.16.1860.0

Datei : C:\Users\kweb\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

Datei : C:\Users\Gast\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [8916 octets] - [29/07/2013 18:13:39]
AdwCleaner[R2].txt - [9035 octets] - [29/07/2013 18:52:06]
AdwCleaner[S1].txt - [314 octets] - [29/07/2013 18:18:35]
AdwCleaner[S2].txt - [9120 octets] - [29/07/2013 18:52:35]
AdwCleaner[S3].txt - [1435 octets] - [09/08/2013 13:51:14]

########## EOF - C:\AdwCleaner[S3].txt - [1495 octets] ##########

schrauber · 10.08.2013, 09:01

dann den rest bitte

10.08.2013, 09:01	#21
schrauber /// the machine /// TB-Ausbilder	GVU Trojaner - nichts geht mehr dann den rest bitte __________________ --> GVU Trojaner - nichts geht mehr

GVU Trojaner - nichts geht mehr

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner - nichts geht mehr