Windows 7 GVU Trojaner(Abgesicherter Modus nicht mehr Möglich)

Kaffee12 · 13.08.2013, 16:06

Hallo ich habe den GVU Trojaner und kann auch nicht mehr im Abgesicherten Modus Starten.

Könnt ihr mir helfen?

Ich habe schon mal FRST 32-Bit | FRST 64-Bit(bin mir nicht mehr sicher ob ich 32 oder 64Bit habe) auf einem anderen Rechner runtergeladen und auf einen USB Stick gemacht.

Soll ich das Programm auf dem Infizierten PC nach der http://www.trojaner-board.de/132035-...ml#post1026550 ausführen?

MfG

ryder · 13.08.2013, 16:14

Ja, deswegen haben wir die Anleitung geschrieben.

Kaffee12 · 14.08.2013, 14:59

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-08-2013
Ran by SYSTEM on 14-08-2013 12:53:30
Running from F:\
Windows 7 Enterprise (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [MSC] - C:\Program Files\Microsoft Security Client\msseces.exe [1281512 2013-01-27] (Microsoft Corporation)
HKU\Christopher\...\Run: [AdobeBridge] -  [x]
HKU\Christopher\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\CHRIST~1\AppData\Local\Temp\devsldoxlitanbkhf.exe [62976 2013-08-12] (Valve Corporation) <===== ATTENTION
HKU\Christopher\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\Christopher\...\Command Processor: "C:\Users\CHRIST~1\AppData\Local\Temp\devsldoxlitanbkhf.exe" <===== ATTENTION!

==================== Services (Whitelisted) =================

S2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1455408 2013-04-07] ()
S2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [22056 2013-01-27] (Microsoft Corporation)
S3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [379360 2013-01-27] (Microsoft Corporation)
S2 PDF Architect Helper Service; C:\Program Files (x86)\PDF Architect\HelperService.exe [1522312 2012-11-22] (pdfforge GbR)
S2 PDF Architect Service; C:\Program Files (x86)\PDF Architect\ConversionService.exe [905864 2012-11-22] (pdfforge GbR)
S2 RealNetworks Downloader Resolver Service; C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe [39056 2013-04-16] ()
S2 Web Assistant; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [188760 2013-06-30] ()
S2 WebCakeUpdater; C:\Program Files (x86)\Web Cake\WDesktop.Updater.exe [51992 2013-07-29] (cake bake)
S3 ServiceLayer; "D:\Program Files (x86)\Nokia\PC Connectivity Solution\ServiceLayer.exe" [x]

==================== Drivers (Whitelisted) ====================

S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [271424 2011-12-20] (DT Soft Ltd)
S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [230320 2013-01-20] (Microsoft Corporation)
S2 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [130008 2013-01-20] (Microsoft Corporation)
S3 NPF; C:\Windows\System32\DRIVERS\npf.sys [47632 2010-02-03] (CACE Technologies, Inc.)
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x]
S3 tsusbhub; system32\drivers\tsusbhub.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-12 18:56 - 2013-08-12 18:56 - 00163107 _____ C:\Users\Christopher\AppData\Local\2433f433
2013-08-12 18:56 - 2013-08-12 18:56 - 00163075 _____ C:\Users\Christopher\AppData\Roaming\2433f433
2013-08-12 18:56 - 2013-08-12 18:56 - 00163072 _____ C:\ProgramData\2433f433
2013-08-07 14:53 - 2013-08-07 14:57 - 00000000 ____D C:\Program Files (x86)\ALDI Bestellsoftware
2013-08-06 13:02 - 2013-08-06 13:03 - 00382600 _____ C:\Windows\Minidump\080613-46613-01.dmp
2013-07-30 11:22 - 2013-07-30 11:22 - 00374760 _____ C:\Windows\Minidump\073013-23259-01.dmp
2013-07-29 10:47 - 2013-07-29 10:47 - 00000000 ____D C:\Program Files (x86)\AGEIA Technologies
2013-07-29 10:42 - 2013-06-21 13:06 - 27781920 _____ (NVIDIA Corporation) C:\Windows\System32\nvoglv64.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 25256224 _____ (NVIDIA Corporation) C:\Windows\System32\nvcompiler.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 21102368 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 17560352 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcompiler.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 15144928 _____ (NVIDIA Corporation) C:\Windows\System32\nvd3dumx.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 13411896 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvwgf2um.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 12427240 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 11235104 _____ (NVIDIA Corporation) C:\Windows\System32\Drivers\nvlddmkm.sys
2013-07-29 10:42 - 2013-06-21 13:06 - 09239344 _____ (NVIDIA Corporation) C:\Windows\System32\nvcuda.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 07687592 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 07641832 _____ (NVIDIA Corporation) C:\Windows\System32\nvopencl.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 06324360 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 02953504 _____ (NVIDIA Corporation) C:\Windows\System32\nvcuvid.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 02777888 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 02597856 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvapi.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 02363680 _____ (NVIDIA Corporation) C:\Windows\System32\nvcuvenc.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 02002720 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvenc.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 01832224 _____ (NVIDIA Corporation) C:\Windows\System32\nvdispco6432049.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 01511712 _____ (NVIDIA Corporation) C:\Windows\System32\nvdispgenco6432049.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 00572704 _____ (NVIDIA Corporation) C:\Windows\System32\NvFBC64.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 00570656 _____ (NVIDIA Corporation) C:\Windows\System32\NvIFR64.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 00467232 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll
2013-07-29 10:42 - 2013-06-21 13:06 - 00465184 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll
2013-07-29 10:14 - 2013-07-29 10:14 - 00374752 _____ C:\Windows\Minidump\072913-15303-01.dmp
2013-07-29 10:10 - 2013-07-29 10:10 - 00372792 _____ C:\Windows\Minidump\072913-16099-01.dmp
2013-07-28 12:16 - 2013-07-28 12:16 - 00379128 _____ C:\Windows\Minidump\072813-48781-01.dmp
2013-07-28 12:11 - 2013-07-28 12:11 - 00378568 _____ C:\Windows\Minidump\072813-49795-01.dmp
2013-07-26 13:13 - 2013-08-14 11:41 - 00003364 _____ C:\Windows\System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-351207631-1847976152-266314238-1000
2013-07-26 13:13 - 2013-08-14 11:41 - 00003242 _____ C:\Windows\System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-351207631-1847976152-266314238-1000
2013-07-26 13:13 - 2013-07-26 13:13 - 00000000 ____D C:\Users\Christopher\AppData\Roaming\RealNetworks
2013-07-26 13:12 - 2013-07-26 13:12 - 00499712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msvcp71.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00348160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msvcr71.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00272896 _____ (Progressive Networks) C:\Windows\SysWOW64\pncrt.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00201872 _____ (RealNetworks, Inc.) C:\Windows\SysWOW64\rmoc3260.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00006656 _____ (RealNetworks, Inc.) C:\Windows\SysWOW64\pndx5016.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00005632 _____ (RealNetworks, Inc.) C:\Windows\SysWOW64\pndx5032.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00000000 ____D C:\ProgramData\RealNetworks
2013-07-26 13:12 - 2013-07-26 13:12 - 00000000 ____D C:\Program Files (x86)\RealNetworks
2013-07-26 13:12 - 2013-07-26 13:12 - 00000000 ____D C:\Program Files (x86)\Real
2013-07-26 13:11 - 2013-07-28 12:17 - 00000000 ____D C:\Users\Christopher\AppData\Roaming\Real
2013-07-26 13:10 - 2013-08-12 15:24 - 00000000 ____D C:\Program Files (x86)\Web Cake
2013-07-26 13:10 - 2013-07-29 10:17 - 00000000 ____D C:\Users\Christopher\AppData\Roaming\Web Cake
2013-07-26 13:10 - 2013-07-26 13:13 - 00000000 ____D C:\ProgramData\Real

==================== One Month Modified Files and Folders =======

2013-08-14 12:52 - 2013-08-14 12:52 - 00000000 ____D C:\FRST
2013-08-14 11:42 - 2009-07-14 11:49 - 01118928 _____ C:\Windows\System32\perfh007.dat
2013-08-14 11:42 - 2009-07-14 11:49 - 00285100 _____ C:\Windows\System32\perfc007.dat
2013-08-14 11:42 - 2009-07-14 06:13 - 00006264 _____ C:\Windows\System32\PerfStringBackup.INI
2013-08-14 11:41 - 2013-07-26 13:13 - 00003364 _____ C:\Windows\System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-351207631-1847976152-266314238-1000
2013-08-14 11:41 - 2013-07-26 13:13 - 00003242 _____ C:\Windows\System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-351207631-1847976152-266314238-1000
2013-08-14 11:41 - 2009-07-14 05:51 - 00065857 _____ C:\Windows\setupact.log
2013-08-14 11:40 - 2011-12-11 21:16 - 00000000 ____D C:\ProgramData\NVIDIA
2013-08-14 11:40 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-08-12 19:16 - 2011-12-11 19:49 - 01830776 _____ C:\Windows\WindowsUpdate.log
2013-08-12 19:16 - 2009-07-14 05:45 - 00022976 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-12 19:16 - 2009-07-14 05:45 - 00022976 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-12 18:56 - 2013-08-12 18:56 - 00163107 _____ C:\Users\Christopher\AppData\Local\2433f433
2013-08-12 18:56 - 2013-08-12 18:56 - 00163075 _____ C:\Users\Christopher\AppData\Roaming\2433f433
2013-08-12 18:56 - 2013-08-12 18:56 - 00163072 _____ C:\ProgramData\2433f433
2013-08-12 18:17 - 2012-07-30 11:10 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-08-12 15:24 - 2013-07-26 13:10 - 00000000 ____D C:\Program Files (x86)\Web Cake
2013-08-12 14:50 - 2012-09-11 11:30 - 00000000 ____D C:\Users\Christopher\AppData\Roaming\Dropbox
2013-08-12 14:37 - 2012-09-11 11:41 - 00000000 ___RD C:\Users\Christopher\Dropbox
2013-08-11 19:06 - 2011-12-14 02:30 - 00003978 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{54125F49-BEA1-463B-9441-B6ED6AE0140C}
2013-08-07 14:57 - 2013-08-07 14:53 - 00000000 ____D C:\Program Files (x86)\ALDI Bestellsoftware
2013-08-06 13:03 - 2013-08-06 13:02 - 00382600 _____ C:\Windows\Minidump\080613-46613-01.dmp
2013-08-06 13:02 - 2012-08-07 21:43 - 00000000 ____D C:\Windows\Minidump
2013-07-30 11:22 - 2013-07-30 11:22 - 00374760 _____ C:\Windows\Minidump\073013-23259-01.dmp
2013-07-29 10:47 - 2013-07-29 10:47 - 00000000 ____D C:\Program Files (x86)\AGEIA Technologies
2013-07-29 10:47 - 2011-12-11 21:16 - 00000000 ____D C:\Program Files (x86)\NVIDIA Corporation
2013-07-29 10:46 - 2011-12-14 01:33 - 00006246 _____ C:\Windows\SysWOW64\PerfStringBackup.INI
2013-07-29 10:17 - 2013-07-26 13:10 - 00000000 ____D C:\Users\Christopher\AppData\Roaming\Web Cake
2013-07-29 10:14 - 2013-07-29 10:14 - 00374752 _____ C:\Windows\Minidump\072913-15303-01.dmp
2013-07-29 10:10 - 2013-07-29 10:10 - 00372792 _____ C:\Windows\Minidump\072913-16099-01.dmp
2013-07-28 12:17 - 2013-07-26 13:11 - 00000000 ____D C:\Users\Christopher\AppData\Roaming\Real
2013-07-28 12:16 - 2013-07-28 12:16 - 00379128 _____ C:\Windows\Minidump\072813-48781-01.dmp
2013-07-28 12:11 - 2013-07-28 12:11 - 00378568 _____ C:\Windows\Minidump\072813-49795-01.dmp
2013-07-27 21:19 - 2011-12-14 14:35 - 00021492 _____ C:\Windows\PFRO.log
2013-07-26 18:36 - 2012-06-07 10:31 - 00000000 ____D C:\Program Files\Web Assistant
2013-07-26 13:13 - 2013-07-26 13:13 - 00000000 ____D C:\Users\Christopher\AppData\Roaming\RealNetworks
2013-07-26 13:13 - 2013-07-26 13:10 - 00000000 ____D C:\ProgramData\Real
2013-07-26 13:12 - 2013-07-26 13:12 - 00499712 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msvcp71.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00348160 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msvcr71.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00272896 _____ (Progressive Networks) C:\Windows\SysWOW64\pncrt.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00201872 _____ (RealNetworks, Inc.) C:\Windows\SysWOW64\rmoc3260.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00006656 _____ (RealNetworks, Inc.) C:\Windows\SysWOW64\pndx5016.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00005632 _____ (RealNetworks, Inc.) C:\Windows\SysWOW64\pndx5032.dll
2013-07-26 13:12 - 2013-07-26 13:12 - 00000000 ____D C:\ProgramData\RealNetworks
2013-07-26 13:12 - 2013-07-26 13:12 - 00000000 ____D C:\Program Files (x86)\RealNetworks
2013-07-26 13:12 - 2013-07-26 13:12 - 00000000 ____D C:\Program Files (x86)\Real
2013-07-26 13:09 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\Resources
2013-07-24 22:22 - 2012-07-30 11:10 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-07-24 22:22 - 2012-04-16 12:44 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-07-24 22:22 - 2011-12-15 00:30 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-07-24 22:22 - 2011-12-14 23:21 - 00000000 ____D C:\Users\Christopher\AppData\Local\Adobe
2013-07-24 02:01 - 2011-12-20 15:52 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-07-16 11:32 - 2009-07-14 05:45 - 04978288 _____ C:\Windows\System32\FNTCACHE.DAT
2013-07-16 11:26 - 2009-07-14 12:07 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-16 11:26 - 2009-07-14 06:32 - 00000000 ____D C:\Program Files\Windows Defender
2013-07-16 11:26 - 2009-07-14 06:32 - 00000000 ____D C:\Program Files (x86)\Windows Defender

Files to move or delete:
====================
C:\Users\CHRIST~1\AppData\Local\Temp\devsldoxlitanbkhf.exe

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-08-12 15:49:37

==================== Memory info =========================== 

Percentage of memory in use: 14%
Total physical RAM: 4094.49 MB
Available physical RAM: 3502.99 MB
Total Pagefile: 4092.64 MB
Available Pagefile: 3491.78 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:75.13 GB) (Free:4.77 GB) NTFS (Disk=0 Partition=1) ==>[Drive with boot components (obtained from BCD)]
Drive d: (Daten) (Fixed) (Total:390.62 GB) (Free:181.85 GB) NTFS (Disk=0 Partition=2)
Drive f: (FLO STICK) (Removable) (Total:3.73 GB) (Free:3.72 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: CC78FD69)
Partition 1: (Active) - (Size=75 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=391 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-08-12 11:51

==================== End Of Log ============================

--- --- ---

--- --- ---

ryder · 14.08.2013, 15:06

!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:

Bitte lesen:
Regeln für die Bereinigung

Illegal genutzte Software
Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
Keine Garantie
Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
Keine Alleingänge
Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
Aufmerksam lesen und nachfragen
Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
Richtig antworten
- Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
- Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss. Denke bitte aber auch daran, dass wir diesen Thread und deine Logfiles nachträglich nicht editieren werden! (siehe LINK)
- Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
  [CODE] (Logfile) [/CODE]
- Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten. (Hier gibt es eine Anleitung)
Keine privaten Nachrichten
Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
Wie läuft die Bereinigung ab?
Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.

Fix mit FRST

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\Christopher\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\CHRIST~1\AppData\Local\Temp\devsldoxlitanbkhf.exe [62976 2013-08-12] (Valve Corporation) <===== ATTENTION
C:\Users\CHRIST~1\AppData\Local\Temp\devsldoxlitanbkhf.exe
HKU\Christopher\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\Christopher\...\Command Processor: "C:\Users\CHRIST~1\AppData\Local\Temp\devsldoxlitanbkhf.exe" <===== ATTENTION!
S2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1455408 2013-04-07] ()
C:\Windows\system32\dmwu.exe
S2 Web Assistant; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [188760 2013-06-30] ()
C:\Program Files\Web Assistant
S2 WebCakeUpdater; C:\Program Files (x86)\Web Cake\WDesktop.Updater.exe [51992 2013-07-29] (cake bake)
2013-08-12 18:56 - 2013-08-12 18:56 - 00163107 _____ C:\Users\Christopher\AppData\Local\2433f433
2013-08-12 18:56 - 2013-08-12 18:56 - 00163075 _____ C:\Users\Christopher\AppData\Roaming\2433f433
2013-08-12 18:56 - 2013-08-12 18:56 - 00163072 _____ C:\ProgramData\2433f433

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Achtung dies war ein Entsperrversuch:
Das bedeutet, dass wir nicht fertig sind. Sondern: Wenn du wieder normal booten kannst müssen wir noch alle Reste entfernen, sonst wird eine Wiederinfektion eintreten. Berichte also, ob du wieder booten kannst und mache sonst nichts.

Kaffee12 · 14.08.2013, 16:01

Hallo. Dankeschön schon mal bis hier hin für deine schnelle Hilfe!

Also der PC fährt wieder im normalen Modus hoch ohne Probleme.

Die Fixlog.txt kann ich leider gerade noch nicht hochladen. Das der nächste für mich erreichbare PC ohne Trojaner 20KM weg is und ich eben erst da war um die Fix-Datei auf den USB Stick zu bekommen.

Ich habe aber mit dem IPhone Zugriff auf das Forum hier und könnte ein gut lesbares abfotografiertes Bild der Fixlog.txt hochladen wenn das ok ist?
Ich frage lieber erst einmal bevor ich das einfach mache.
Wenn nicht werde ich die Datei morgen hochladen.

MfG

ryder · 14.08.2013, 17:05

Na wenn es normal hochlädt, dann hast du doch auch Internetzugriff oder nicht?

Kaffee12 · 14.08.2013, 18:44

Ja. Aber weil du geschrieben hast das ich außer Booten nichts machen soll habe ich direkt nach dem hochfahren den PC wieder runter Gefahren und bin nicht ins Internet.

Also kann ich mit dem PC vorerst wieder gefahrlos Online und das File hochladen?

MfG

ryder · 14.08.2013, 18:46

Ja mache das bitte und:

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren

Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren

ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen (z.B. jDownloader).

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
Registry-Cleaner Software, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall (ist unnötig), McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle Varianten, Java 7 kann bleiben), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater,Advanced System Protector, RegClean Pro, Advanced System Optimizer, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro, Webcake, OpenCandy, Zip Opener, WinZipper, Open It!

Ich persönlich empfehle auch alles zu deinstallieren, was mit Bing zu tun hat (Bing Desktop, -toolbar), aber das ist deine Entscheidung.

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Achtung! Lade dir keinenfalls den ZipOpener herunter.

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32bit oder FRST 64bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Scan.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Kaffee12 · 15.08.2013, 09:24

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-08-2013
Ran by SYSTEM at 2013-08-14 16:40:11 Run:1
Running from F:\
Boot Mode: Recovery
==============================================

HKU\Christopher\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
C:\Users\CHRIST~1\AppData\Local\Temp\devsldoxlitanbkhf.exe => Moved successfully.
HKU\Christopher\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\Christopher\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
IBUpdaterService => Service deleted successfully.
C:\Windows\system32\dmwu.exe => Moved successfully.
Web Assistant => Service deleted successfully.
C:\Program Files\Web Assistant => Moved successfully.
WebCakeUpdater => Service deleted successfully.
C:\Users\Christopher\AppData\Local\2433f433 => Moved successfully.
C:\Users\Christopher\AppData\Roaming\2433f433 => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.

==== End of Fixlog ====

Code:

ATTFilter

# AdwCleaner v2.306 - Datei am 15/08/2013 um 10:12:36 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Enterprise Service Pack 1 (64 bits)
# Benutzer : Christopher - CHRISTOPHER-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Christopher\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\searchplugins\MyStart Search.xml
Ordner Gelöscht : C:\ProgramData\Tarma Installer
Ordner Gelöscht : C:\Users\Christopher\AppData\Local\Ilivid Player
Ordner Gelöscht : C:\Users\Christopher\AppData\LocalLow\incredibar.com
Ordner Gelöscht : C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\extensions\ffxtlbr@incredibar.com
Ordner Gelöscht : C:\Users\Christopher\AppData\Roaming\pdfforge
Ordner Gelöscht : C:\Windows\SysWOW64\ARFC
Ordner Gelöscht : C:\Windows\SysWOW64\jmdp
Ordner Gelöscht : C:\Windows\SysWOW64\WNLT

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9639E4A-801B-4843-AEE3-03D9DA199E77}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9639E4A-801B-4843-AEE3-03D9DA199E77}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\WNLT
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1D5A4199-956E-49BC-B89F-6A35C57C0D13}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_fuer_winrar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_fuer_winrar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASMANCS
Schlüssel Gelöscht : HKLM\Software\Web Assistant
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WNLT
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer
Schlüssel Gelöscht : HKLM\SOFTWARE\Web Assistant
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16635

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb161?a=6OyEdgSNU6&i=26 --> hxxp://www.google.com

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\prefs.js

C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\user.js ... Gelöscht !

Gelöscht : user_pref("browser.search.defaultenginename", "MyStart Search");
Gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar_i.dfltLng", "");
Gelöscht : user_pref("extensions.incredibar_i.did", "10643");
Gelöscht : user_pref("extensions.incredibar_i.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar_i.id", "f8cbabf0000000000000c43dc7ca6382");
Gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar_i.instlDay", "15498");
Gelöscht : user_pref("extensions.incredibar_i.instlRef", "");
Gelöscht : user_pref("extensions.incredibar_i.ms_url_id", "");
Gelöscht : user_pref("extensions.incredibar_i.newTab", false);
Gelöscht : user_pref("extensions.incredibar_i.ppd", "1");
Gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar_i.productid", "26");
Gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyEdgSNU6&loc=IB[...]
Gelöscht : user_pref("extensions.incredibar_i.upn2", "6OyEdgSNU6");
Gelöscht : user_pref("extensions.incredibar_i.upn2n", "92261543622070282");
Gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1411:31:46");
Gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Gelöscht : user_pref("keyword.URL", "hxxp://mystart.incredibar.com/mb161/?loc=IB_DS&a=6OyEdgSNU6&&i=26&search="[...]
Gelöscht : user_pref("{8E9E3331-D360-4f87-8803-52DE43566502}.ScriptData_WSG_blackList", "form=CONTLB|babsrc=too[...]
Gelöscht : user_pref("{8E9E3331-D360-4f87-8803-52DE43566502}.ScriptData_WSG_whiteList", "{\"search.babylon.com\[...]
Gelöscht : user_pref("{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}.ScriptData_WSG_blackList", "form=CONTLB|babsrc=too[...]
Gelöscht : user_pref("{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}.ScriptData_WSG_whiteList", "{\"search.babylon.com\[...]

*************************

AdwCleaner[S1].txt - [8122 octets] - [15/08/2013 10:12:36]

########## EOF - C:\AdwCleaner[S1].txt - [8182 octets] ##########

Code:

ATTFilter

# AdwCleaner v2.306 - Datei am 15/08/2013 um 10:12:36 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Enterprise Service Pack 1 (64 bits)
# Benutzer : Christopher - CHRISTOPHER-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Christopher\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\searchplugins\MyStart Search.xml
Ordner Gelöscht : C:\ProgramData\Tarma Installer
Ordner Gelöscht : C:\Users\Christopher\AppData\Local\Ilivid Player
Ordner Gelöscht : C:\Users\Christopher\AppData\LocalLow\incredibar.com
Ordner Gelöscht : C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\extensions\ffxtlbr@incredibar.com
Ordner Gelöscht : C:\Users\Christopher\AppData\Roaming\pdfforge
Ordner Gelöscht : C:\Windows\SysWOW64\ARFC
Ordner Gelöscht : C:\Windows\SysWOW64\jmdp
Ordner Gelöscht : C:\Windows\SysWOW64\WNLT

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9639E4A-801B-4843-AEE3-03D9DA199E77}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9639E4A-801B-4843-AEE3-03D9DA199E77}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\WNLT
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1D5A4199-956E-49BC-B89F-6A35C57C0D13}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_fuer_winrar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_fuer_winrar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASMANCS
Schlüssel Gelöscht : HKLM\Software\Web Assistant
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WNLT
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer
Schlüssel Gelöscht : HKLM\SOFTWARE\Web Assistant
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16635

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb161?a=6OyEdgSNU6&i=26 --> hxxp://www.google.com

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\prefs.js

C:\Users\Christopher\AppData\Roaming\Mozilla\Firefox\Profiles\8ebwppdl.default\user.js ... Gelöscht !

Gelöscht : user_pref("browser.search.defaultenginename", "MyStart Search");
Gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar_i.dfltLng", "");
Gelöscht : user_pref("extensions.incredibar_i.did", "10643");
Gelöscht : user_pref("extensions.incredibar_i.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar_i.id", "f8cbabf0000000000000c43dc7ca6382");
Gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar_i.instlDay", "15498");
Gelöscht : user_pref("extensions.incredibar_i.instlRef", "");
Gelöscht : user_pref("extensions.incredibar_i.ms_url_id", "");
Gelöscht : user_pref("extensions.incredibar_i.newTab", false);
Gelöscht : user_pref("extensions.incredibar_i.ppd", "1");
Gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar_i.productid", "26");
Gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyEdgSNU6&loc=IB[...]
Gelöscht : user_pref("extensions.incredibar_i.upn2", "6OyEdgSNU6");
Gelöscht : user_pref("extensions.incredibar_i.upn2n", "92261543622070282");
Gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1411:31:46");
Gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Gelöscht : user_pref("keyword.URL", "hxxp://mystart.incredibar.com/mb161/?loc=IB_DS&a=6OyEdgSNU6&&i=26&search="[...]
Gelöscht : user_pref("{8E9E3331-D360-4f87-8803-52DE43566502}.ScriptData_WSG_blackList", "form=CONTLB|babsrc=too[...]
Gelöscht : user_pref("{8E9E3331-D360-4f87-8803-52DE43566502}.ScriptData_WSG_whiteList", "{\"search.babylon.com\[...]
Gelöscht : user_pref("{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}.ScriptData_WSG_blackList", "form=CONTLB|babsrc=too[...]
Gelöscht : user_pref("{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}.ScriptData_WSG_whiteList", "{\"search.babylon.com\[...]

*************************

AdwCleaner[S1].txt - [8122 octets] - [15/08/2013 10:12:36]

########## EOF - C:\AdwCleaner[S1].txt - [8182 octets] ##########

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 14-08-2013 01
Ran by Christopher at 2013-08-15 10:20:06
Running from C:\Users\Christopher\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

   
64 Bit HP CIO Components Installer (Version: 7.2.8)
Adobe AIR (x32 Version: 2.5.1.17730)
Adobe Community Help (x32 Version: 3.4.980)
Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224)
Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.94)
Adobe Photoshop CS5.1 (x32 Version: 12.1)
Adobe Reader X (10.1.4) - Deutsch (x32 Version: 10.1.4)
AIO_CDB_ProductContext (x32 Version: 130.0.365.000)
AIO_CDB_Software (x32 Version: 130.0.365.000)
AIO_Scan (x32 Version: 130.0.421.000)
ALDI Bestellsoftware 4.12.2 (x32 Version: 4.12.2)
Apple Application Support (x32 Version: 2.3.4)
Apple Mobile Device Support (Version: 6.1.0.13)
Apple Software Update (x32 Version: 2.1.3.127)
Bonjour (Version: 3.0.0.10)
BufferChm (x32 Version: 130.0.331.000)
CANON iMAGE GATEWAY Task for ZoomBrowser EX (x32 Version: 1.7.2.11)
Canon Internet Library for ZoomBrowser EX (x32 Version: 1.6.3.9)
Canon MOV Decoder (x32 Version: 1.5.0.7)
Canon MOV Encoder (x32 Version: 1.3.1.3)
Canon MovieEdit Task for ZoomBrowser EX (x32 Version: 3.4.1.9)
Canon Utilities Digital Photo Professional 3.8 (x32 Version: 3.8.0.0)
Canon Utilities EOS Utility (x32 Version: 2.8.1.0)
Canon Utilities PhotoStitch (x32 Version: 3.1.22.46)
Canon Utilities Picture Style Editor (x32 Version: 1.7.0.0)
Canon Utilities WFT Utility (x32 Version: 3.5.1.1)
Canon Utilities ZoomBrowser EX (x32 Version: 6.5.1.15)
Canon ZoomBrowser EX Memory Card Utility (x32 Version: 1.3.0.4)
Copy (x32 Version: 130.0.428.000)
DAEMON Tools Pro (x32 Version: 4.41.0315.0262)
Definition Update for Microsoft Office 2010 (KB982726) 64-Bit Edition
Destinations (x32 Version: 130.0.0.0)
DeviceDiscovery (x32 Version: 130.0.465.000)
DHTML Editing Component (x32 Version: 6.02.0001)
DocProc (x32 Version: 13.0.0.0)
dows-Treiberpaket - Nokia pccsmcfd  (10/12/2007 6.85.4.0) (Version: 10/12/2007 6.85.4.0)
Dropbox (HKCU Version: 2.0.22)
ElsterFormular (x32 Version: 14.1.11318)
F300 (x32 Version: 130.0.365.000)
F300_Help (x32 Version: 82.0.242.000)
F300Trb (x32 Version: 82.0.242.000)
Fax (x32 Version: 130.0.418.000)
GIMP 2.8.0 (Version: 2.8.0)
High-Definition Video Playback (x32 Version: 11.1.10400.2.65)
HP Deskjet 3070 B611 series - Grundlegende Software für das Gerät (Version: 25.0.571.0)
HP Deskjet 3070 B611 series Hilfe (x32 Version: 140.0.2.2)
HP Imaging Device Functions 13.0 (Version: 13.0)
HP Photosmart Officejet and Deskjet All-In-One Driver Software 13.0 Rel. B (Version: 13.0)
HP Smart Web Printing 4.51 (Version: 4.51)
HP Update (x32 Version: 4.000.011.006)
HPPhotoGadget (x32 Version: 130.0.282.000)
ICQ7.7 (x32 Version: 7.7)
iTunes (Version: 11.0.4.4)
Java 7 Update 7 (64-bit) (Version: 7.0.70)
Java Auto Updater (x32 Version: 2.0.6.1)
Java(TM) 6 Update 29 (x32 Version: 6.0.290)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended DEU Language Pack (Version: 4.0.30319)
Microsoft Antimalware Service DE-DE Language Pack (Version: 3.0.8402.2)
Microsoft Office 2010 Service Pack 1 (SP1)
Microsoft Office Access MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Excel MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Groove MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office InfoPath MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Office 32-bit Components 2010 (Version: 14.0.6029.1000)
Microsoft Office OneNote MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Outlook MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office PowerPoint MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Professional Plus 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (English) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (French) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (Italian) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proofing (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Publisher MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared 32-bit MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Word MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Security Client (Version: 4.2.0223.1)
Microsoft Security Client DE-DE Language Pack (Version: 2.1.1116.0)
Microsoft Security Essentials (Version: 4.2.223.1)
Microsoft Silverlight (Version: 5.1.20513.0)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.56336)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.59193)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001)
Microsoft Visual C++ 2005 Redistributable (x64) (Version: 8.0.56336)
Microsoft Visual C++ 2005 Redistributable (x64) (Version: 8.0.61000)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (x32 Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (x32 Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (Version: 10.0.40219)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219)
Microsoft_VC80_ATL_x86 (x32 Version: 8.0.50727.4053)
Microsoft_VC80_ATL_x86_x64 (Version: 8.0.50727.4053)
Microsoft_VC80_CRT_x86 (x32 Version: 8.0.50727.4053)
Microsoft_VC80_CRT_x86_x64 (Version: 8.0.50727.4053)
Microsoft_VC80_MFC_x86 (x32 Version: 8.0.50727.4053)
Microsoft_VC80_MFC_x86_x64 (Version: 8.0.50727.4053)
Microsoft_VC80_MFCLOC_x86 (x32 Version: 8.0.50727.4053)
Microsoft_VC80_MFCLOC_x86_x64 (Version: 80.50727.4053)
Microsoft_VC90_ATL_x86 (x32 Version: 1.00.0000)
Microsoft_VC90_ATL_x86_x64 (Version: 1.00.0000)
Microsoft_VC90_CRT_x86 (x32 Version: 1.00.0000)
Microsoft_VC90_CRT_x86_x64 (Version: 1.00.0000)
Microsoft_VC90_MFC_x86 (x32 Version: 1.00.0000)
Microsoft_VC90_MFC_x86_x64 (Version: 1.00.0000)
Microsoft_VC90_MFCLOC_x86 (x32 Version: 1.00.0000)
Microsoft_VC90_MFCLOC_x86_x64 (Version: 1.00.0000)
Mozilla Firefox 22.0 (x86 de) (x32 Version: 22.0)
Mozilla Maintenance Service (x32 Version: 22.0)
MSXML 4.0 SP2 (KB954430) (x32 Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (x32 Version: 4.20.9876.0)
Nero 11 (x32 Version: 11.0.10700)
Nero 11 Disc Menus Basic (x32 Version: 11.0.11200.12.0)
Nero 11 Effects Basic (x32 Version: 11.0.11200.12.0)
Nero 11 Image Samples (x32 Version: 11.0.11200.12.0)
Nero 11 Kwik Themes Basic (x32 Version: 11.0.11200.12.0)
Nero 11 PiP Effects Basic (x32 Version: 11.0.11300.12.0)
Nero Audio Pack 1 (x32 Version: 11.0.11500.110.0)
Nero BackItUp 11 (x32 Version: 6.0.16000.13.100)
Nero BackItUp 11 Help (CHM) (x32 Version: 11.0.10200)
Nero Backup Drivers (Version: 1.0.10000.1.0)
Nero Burning ROM 11 (x32 Version: 11.0.12200.23.100)
Nero Burning ROM 11 Help (CHM) (x32 Version: 11.0.10300)
Nero ControlCenter 11 (x32 Version: 11.0.12300.0.23)
Nero ControlCenter 11 Help (CHM) (x32 Version: 11.0.10300)
Nero Core Components 11 (x32 Version: 11.0.15000.1.12)
Nero CoverDesigner 11 (x32 Version: 6.0.10800.11.100)
Nero CoverDesigner 11 Help (CHM) (x32 Version: 11.0.10300)
Nero Express 11 (x32 Version: 11.0.11700.23.100)
Nero Express 11 Help (CHM) (x32 Version: 11.0.10300)
Nero Kwik Media (x32 Version: 1.10.19300.93.100)
Nero Kwik Media Help (CHM) (x32 Version: 11.0.10200)
Nero Recode 11 (x32 Version: 5.0.13300.32.100)
Nero Recode 11 Help (CHM) (x32 Version: 11.0.10300)
Nero RescueAgent 11 (x32 Version: 4.0.10600.10.100)
Nero RescueAgent 11 Help (CHM) (x32 Version: 11.0.10400)
Nero SoundTrax 11 (x32 Version: 5.0.10400.4.100)
Nero SoundTrax 11 Help (CHM) (x32 Version: 11.0.10400)
Nero Update (x32 Version: 11.0.10623.22.0)
Nero Video 11 (x32 Version: 8.0.14000.21.100)
Nero Video 11 Help (CHM) (x32 Version: 11.0.10300)
Nero WaveEditor 11 (x32 Version: 6.0.10800.5.100)
Nero WaveEditor 11 Help (CHM) (x32 Version: 11.0.10400)
nero.prerequisites.msi (x32 Version: 11.0.20007)
Network64 (Version: 130.0.572.000)
NVIDIA 3D Vision Controller-Treiber 320.49 (Version: 320.49)
NVIDIA 3D Vision Treiber 320.49 (Version: 320.49)
NVIDIA GeForce Experience 1.5 (Version: 1.5)
NVIDIA Grafiktreiber 320.49 (Version: 320.49)
NVIDIA Install Application (Version: 2.1002.124.810)
NVIDIA PhysX (x32 Version: 9.13.0604)
NVIDIA PhysX-Systemsoftware 9.13.0604 (Version: 9.13.0604)
NVIDIA Stereoscopic 3D Driver (x32 Version: 7.17.13.2049)
NVIDIA Systemsteuerung 320.49 (Version: 320.49)
NVIDIA Update 4.11.9 (Version: 4.11.9)
NVIDIA Update Components (Version: 4.11.9)
OCR Software by I.R.I.S. 13.0 (Version: 13.0)
PDF Architect (x32 Version: 1.0.41.8362)
PDF Settings CS5 (x32 Version: 10.0)
PDFCreator (x32 Version: 1.6.0)
QuickTime (x32 Version: 7.73.80.64)
RealDownloader (x32 Version: 1.3.2)
RealNetworks - Microsoft Visual C++ 2008 Runtime (x32 Version: 9.0)
RealNetworks - Microsoft Visual C++ 2010 Runtime (x32 Version: 10.0)
RealPlayer (x32 Version: 16.0.2)
RealUpgrade 1.1 (x32 Version: 1.1.0)
Safari (x32 Version: 5.34.57.2)
Scan (x32 Version: 13.0.0.0)
SmartWebPrinting (x32 Version: 130.0.457.000)
Status (x32 Version: 130.0.469.000)
Tinypic 3.18 (x32 Version: Tinypic 3.18)
Toolbox (x32 Version: 130.0.648.000)
TrayApp (x32 Version: 130.0.422.000)
Turbo Lister 2 (x32 Version: 2.00.0000)
UnloadSupport (x32 Version: 11.0.0)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2836939) (x32 Version: 1)
Update for Microsoft Office 2010 (KB2553065)
Update for Microsoft Office 2010 (KB2553092)
Update for Microsoft Office 2010 (KB2553181) 64-Bit Edition
Update for Microsoft Office 2010 (KB2553267) 64-Bit Edition
Update for Microsoft Office 2010 (KB2553270) 64-Bit Edition
Update for Microsoft Office 2010 (KB2553310) 64-Bit Edition
Update for Microsoft Office 2010 (KB2553378) 64-Bit Edition
Update for Microsoft Office 2010 (KB2566458)
Update for Microsoft Office 2010 (KB2598242) 64-Bit Edition
Update for Microsoft Office 2010 (KB2687509) 64-Bit Edition
Update for Microsoft Office 2010 (KB2760631) 64-Bit Edition
Update for Microsoft Office 2010 (KB2767886) 64-Bit Edition
Update for Microsoft OneNote 2010 (KB2553290) 64-Bit Edition
Update for Microsoft Outlook 2010 (KB2597090) 64-Bit Edition
Update for Microsoft Outlook 2010 (KB2687623) 64-Bit Edition
Update for Microsoft Outlook Social Connector 2010 (KB2553406) 64-Bit Edition
Update for Microsoft PowerPoint 2010 (KB2598240) 64-Bit Edition
Update for Microsoft SharePoint Workspace 2010 (KB2589371) 64-Bit Edition
WebReg (x32 Version: 130.0.132.017)
welcome (x32 Version: 11.0.21500.0.4)
Winamp (x32 Version: 5.623 )
Winamp Erkennungs-Plug-in (HKCU Version: 1.0.0.1)
WinRAR 4.11 (64-Bit) (Version: 4.11.0)

==================== Restore Points  =========================

12-08-2013 14:49:25 Geplanter Prüfpunkt
15-08-2013 07:59:53 PC Connectivity Solution wird entfernt

==================== Hosts content: ==========================

2011-12-20 13:26 - 2011-12-20 15:00 - 00003558 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 192.150.18.108 
127.0.0.1 192.168.112.2O7.net 
127.0.0.1 92.168.112.2o7.net 
127.0.0.1 2O7.net 
127.0.0.1 209-34-83-73.ood.opsource.net 
127.0.0.1 209-34-83-73.ood.opsource.net 
127.0.0.1 209-34-83-73.ood.opsource.net 
127.0.0.1 209.34.83.73:443 
127.0.0.1 209.34.83.73:43 
127.0.0.1 ood.opsource.net 
127.0.0.1 CRL.VERISIGN.NET 
127.0.0.1 199.7.52.190 
127.0.0.1 activate.adobe.com:443 
127.0.0.1 hl2rcv.adobe.com 
127.0.0.1 3dns.adobe.com 
127.0.0.1 3dns-1.adobe.com 
127.0.0.1 3dns-2.adobe.com 
127.0.0.1 3dns-2.adobe.de 
127.0.0.1 3dns-3.adobe.com 
127.0.0.1 3dns-3.adobe.de 
127.0.0.1 3dns-4.adobe.com 
127.0.0.1 activate.adobe.com 
127.0.0.1 activate.adobe.de 
127.0.0.1 activate.wip.adobe.com 
127.0.0.1 activate.wip1.adobe.com 
127.0.0.1 activate.wip2.adobe.com 
127.0.0.1 activate.wip3.adobe.com 
127.0.0.1 activate.wip3.adobe.de 
127.0.0.1 activate.wip4.adobe.com 

There are 56 more lines.


==================== Scheduled Tasks (whitelisted) =============

Task: {007021BC-5168-4BA6-9EAE-0E32AF2C664A} - System32\Tasks\AdobeAAMUpdater-1.0-Christopher-PC-Christopher => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2011-03-15] (Adobe Systems Incorporated)
Task: {8D0B4318-84FE-419A-BAAE-98BD763DA576} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-23] (Microsoft Corporation)
Task: {A46F66BC-E0B1-4A48-8F45-500790A55541} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-351207631-1847976152-266314238-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-04-16] (RealNetworks, Inc.)
Task: {C79747B2-564E-49BC-8E56-4FF9A1AC1447} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe [2013-01-27] (Microsoft Corporation)
Task: {DDA8188F-65D7-49D1-AEEC-A526B5B87AB7} - System32\Tasks\User_Feed_Synchronization-{54125F49-BEA1-463B-9441-B6ED6AE0140C} => C:\Windows\system32\msfeedssync.exe [2013-06-22] (Microsoft Corporation)
Task: {DEDF7D16-E870-4FFD-8C00-8182648B4C11} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-351207631-1847976152-266314238-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-04-16] (RealNetworks, Inc.)
Task: {FDEEE90A-9C47-4EFE-AF5D-EA41CA8DD778} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-07-24] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Faulty Device Manager Devices =============

Name: Deskjet 3070 B611 series
Description: Deskjet 3070 B611 series
Class Guid: {4d36e971-e325-11ce-bfc1-08002be10318}
Manufacturer: HP
Service: 
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (08/15/2013 10:11:56 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (08/15/2013 10:11:56 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.

Error: (08/15/2013 10:11:56 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.

Error: (08/15/2013 09:59:08 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (08/15/2013 09:59:08 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.

Error: (08/15/2013 09:59:08 AM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.

Error: (08/14/2013 00:42:25 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (08/14/2013 00:42:25 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.

Error: (08/14/2013 00:42:25 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich.

Error: (08/12/2013 08:11:00 PM) (Source: Microsoft-Windows-LoadPerf) (User: NT-AUTORITÄT)
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.


System errors:
=============
Error: (08/15/2013 10:04:52 AM) (Source: Microsoft Antimalware) (User: )
Description: Beim Aktualisieren der Signaturen wurde von %NT-AUTORITÄT60 ein Fehler festgestellt.

	Neue Signaturversion: 

	Vorherige Signaturversion: 1.155.2052.0

	Aktualisierungsquelle: %NT-AUTORITÄT59

	Aktualisierungsphase: 4.2.0223.00

	Quellpfad: 4.2.0223.01

	Signaturtyp: %NT-AUTORITÄT602

	Aktualisierungstyp: %NT-AUTORITÄT604

	Benutzer: NT-AUTORITÄT\SYSTEM

	Aktuelle Modulversion: %NT-AUTORITÄT605

	Vorherige Modulversion: %NT-AUTORITÄT606

	Fehlercode: %NT-AUTORITÄT607

	Fehlerbeschreibung: %NT-AUTORITÄT608

Error: (08/15/2013 09:54:45 AM) (Source: BugCheck) (User: )
Description: 0x00000116 (0xfffffa80061f34e0, 0xfffff88007354e30, 0x0000000000000000, 0x0000000000000002)C:\Windows\MEMORY.DMP081513-48251-01

Error: (08/15/2013 09:54:44 AM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎15.‎08.‎2013 um 09:53:08 unerwartet heruntergefahren.

Error: (08/14/2013 04:44:51 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎14.‎08.‎2013 um 12:44:05 unerwartet heruntergefahren.

Error: (08/12/2013 08:16:06 PM) (Source: DCOM) (User: )
Description: {F9717507-6651-4EDB-BFF7-AE615179BCCF}

Error: (08/12/2013 08:13:19 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Microsoft Antimalware Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 15000 Millisekunden durchgeführt: Neustart des Diensts.

Error: (08/12/2013 08:13:12 PM) (Source: Service Control Manager) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
AFD
CSC
DfsC
discache
MpFilter
NetBIOS
NetBT
nsiproxy
Psched
rdbss
spldr
tdx
vwififlt
Wanarpv6
WfpLwf

Error: (08/12/2013 08:13:12 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (08/12/2013 08:13:12 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SMB 2.0-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (08/12/2013 08:13:12 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SMB 1.x-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068


Microsoft Office Sessions:
=========================
Error: (08/15/2013 10:11:56 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: WmiApRplWmiApRpl8F20300004D070000

Error: (08/15/2013 10:11:56 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: Performance1637070000000000000000000009030000

Error: (08/15/2013 10:11:56 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: Performance1637070000000000000000000009030000

Error: (08/15/2013 09:59:08 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: WmiApRplWmiApRpl8F20300004D070000

Error: (08/15/2013 09:59:08 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: Performance1637070000000000000000000009030000

Error: (08/15/2013 09:59:08 AM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: Performance1637070000000000000000000009030000

Error: (08/14/2013 00:42:25 PM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: WmiApRplWmiApRpl8F20300004D070000

Error: (08/14/2013 00:42:25 PM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: Performance1637070000000000000000000009030000

Error: (08/14/2013 00:42:25 PM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: Performance1637070000000000000000000009030000

Error: (08/12/2013 08:11:00 PM) (Source: Microsoft-Windows-LoadPerf)(User: NT-AUTORITÄT)
Description: WmiApRplWmiApRpl8F20300004D070000


==================== Memory info =========================== 

Percentage of memory in use: 36%
Total physical RAM: 4094.49 MB
Available physical RAM: 2594.29 MB
Total Pagefile: 8187.17 MB
Available Pagefile: 6696.99 MB
Total Virtual: 8192 MB
Available Virtual: 8191.83 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:75.13 GB) (Free:4.74 GB) NTFS (Disk=0 Partition=1) ==>[Drive with boot components (obtained from BCD)]
Drive d: (Daten) (Fixed) (Total:390.62 GB) (Free:181.85 GB) NTFS (Disk=0 Partition=2)
Drive f: (FLO STICK) (Removable) (Total:3.73 GB) (Free:3.72 GB) FAT32 (Disk=1 Partition=1)

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: CC78FD69)
Partition 1: (Active) - (Size=75 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=391 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)

==================== End Of Log ============================

ryder · 15.08.2013, 11:41

Zitat:

127.0.0.1 hl2rcv.adobe.com
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-2.adobe.de
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-3.adobe.de
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate.adobe.de
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip3.adobe.de
127.0.0.1 activate.wip4.adobe.com

There are 56 more lines.

Die von mir gelisteten Einträge deuten stark darauf hin, dass auf diesem Rechner Software benutzt wird, die nicht legal erworben wurde.

Supportstopp

Lesestoff:
Cracks und Keygens
Den Kopierschutz von Software zu umgehen ist nach geltendem Recht illegal. Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Zudem sind Cracks und Patches aus dubioser Quelle sehr oft mit Schädlingen versehen, womit man sich also fast vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, da wir ein solches Vorgehen nicht unterstützen. Hinzu kommt, dass wir dich in unserer Anleitung und auch in diesem Wichtig-Thema unmissverständlich darauf hingewiesen haben, wie wir damit umgehen werden. Saubere, gute Software hat seinen Preis und die Softwarefirmen leben von diesen Einnahmen.

Unsere Hilfe beschränkt sich daher nur auf das Neuaufsetzen und Absichern deines Systems.
Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Forum.

Damit ist das Thema beendet.

13.08.2013, 16:14	#2
ryder /// TB-Ausbilder	Windows 7 GVU Trojaner(Abgesicherter Modus nicht mehr Möglich) Ja, deswegen haben wir die Anleitung geschrieben. __________________ __________________

14.08.2013, 17:05	#6
ryder /// TB-Ausbilder	Windows 7 GVU Trojaner(Abgesicherter Modus nicht mehr Möglich) Na wenn es normal hochlädt, dann hast du doch auch Internetzugriff oder nicht? __________________ --> Windows 7 GVU Trojaner(Abgesicherter Modus nicht mehr Möglich)

Windows 7 GVU Trojaner(Abgesicherter Modus nicht mehr Möglich)

Plagegeister aller Art und deren Bekämpfung: Windows 7 GVU Trojaner(Abgesicherter Modus nicht mehr Möglich)