Hi!

Wenn ich Firefox öffne, startet automatisch die Seite qvo6.com.
Kenne mich da leider überhaupt nicht aus, aber es werden auch Viren gefunden.

Habe einfach mal die Anweisungen befolgt.
Da der Text sonst zu lang wäre habe ich den FRST Log an den Beitrag angehängt.

Danke schonmal!

PS: Beim Scan mit GMER hängt sich das Programm auf.

Avira Log:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 8. September 2013  11:37


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : LISA-AA587EA51D

Versionsinformationen:
BUILD.DAT      : 13.0.0.4052    55009 Bytes   29.8.2013 17:56:00
AVSCAN.EXE     : 13.6.20.2100   639032 Bytes    6.9.2013 20:43:36
AVSCANRC.DLL   : 13.6.20.2174    63032 Bytes    6.9.2013 20:43:36
LUKE.DLL       : 13.6.20.2174    65080 Bytes    6.9.2013 20:43:50
AVSCPLR.DLL    : 13.6.20.2174    92216 Bytes    6.9.2013 20:43:36
AVREG.DLL      : 13.6.20.2174   250424 Bytes    6.9.2013 20:43:36
avlode.dll     : 13.6.20.2174   497720 Bytes    6.9.2013 20:43:35
avlode.rdf     : 13.0.1.42      26846 Bytes   30.8.2013 10:07:25
VBASE000.VDF   : 7.11.70.0   66736640 Bytes    4.4.2013 09:38:25
VBASE001.VDF   : 7.11.74.226  2201600 Bytes   30.4.2013 11:41:10
VBASE002.VDF   : 7.11.80.60   2751488 Bytes   28.5.2013 06:02:23
VBASE003.VDF   : 7.11.85.214  2162688 Bytes   21.6.2013 06:02:23
VBASE004.VDF   : 7.11.91.176  3903488 Bytes   23.7.2013 06:39:01
VBASE005.VDF   : 7.11.98.186  6822912 Bytes   29.8.2013 10:07:17
VBASE006.VDF   : 7.11.98.187     2048 Bytes   29.8.2013 10:07:17
VBASE007.VDF   : 7.11.98.188     2048 Bytes   29.8.2013 10:07:17
VBASE008.VDF   : 7.11.98.189     2048 Bytes   29.8.2013 10:07:17
VBASE009.VDF   : 7.11.98.190     2048 Bytes   29.8.2013 10:07:17
VBASE010.VDF   : 7.11.98.191     2048 Bytes   29.8.2013 10:07:17
VBASE011.VDF   : 7.11.98.192     2048 Bytes   29.8.2013 10:07:17
VBASE012.VDF   : 7.11.98.193     2048 Bytes   29.8.2013 10:07:17
VBASE013.VDF   : 7.11.99.52    270848 Bytes   30.8.2013 02:17:41
VBASE014.VDF   : 7.11.99.167   210944 Bytes    2.9.2013 20:43:27
VBASE015.VDF   : 7.11.100.3    265216 Bytes    3.9.2013 20:43:27
VBASE016.VDF   : 7.11.100.95   220160 Bytes    4.9.2013 20:43:27
VBASE017.VDF   : 7.11.100.197   143872 Bytes    5.9.2013 20:43:27
VBASE018.VDF   : 7.11.101.11   227840 Bytes    6.9.2013 20:43:28
VBASE019.VDF   : 7.11.101.79   148480 Bytes    7.9.2013 08:49:46
VBASE020.VDF   : 7.11.101.80     2048 Bytes    7.9.2013 08:49:46
VBASE021.VDF   : 7.11.101.81     2048 Bytes    7.9.2013 08:49:46
VBASE022.VDF   : 7.11.101.82     2048 Bytes    7.9.2013 08:49:46
VBASE023.VDF   : 7.11.101.83     2048 Bytes    7.9.2013 08:49:46
VBASE024.VDF   : 7.11.101.84     2048 Bytes    7.9.2013 08:49:46
VBASE025.VDF   : 7.11.101.85     2048 Bytes    7.9.2013 08:49:46
VBASE026.VDF   : 7.11.101.86     2048 Bytes    7.9.2013 08:49:47
VBASE027.VDF   : 7.11.101.87     2048 Bytes    7.9.2013 08:49:47
VBASE028.VDF   : 7.11.101.88     2048 Bytes    7.9.2013 08:49:47
VBASE029.VDF   : 7.11.101.89     2048 Bytes    7.9.2013 08:49:47
VBASE030.VDF   : 7.11.101.90     2048 Bytes    7.9.2013 08:49:47
VBASE031.VDF   : 7.11.101.132    81408 Bytes    7.9.2013 08:49:47
Engineversion  : 8.2.12.118
AEVDF.DLL      : 8.1.3.4       102774 Bytes   18.7.2013 06:01:38
AESCRIPT.DLL   : 8.1.4.148     516478 Bytes    6.9.2013 20:43:31
AESCN.DLL      : 8.1.10.4      131446 Bytes   26.3.2013 20:14:59
AESBX.DLL      : 8.2.16.26    1245560 Bytes   30.8.2013 10:07:24
AERDL.DLL      : 8.2.0.128     688504 Bytes   18.7.2013 06:01:38
AEPACK.DLL     : 8.3.2.24      749945 Bytes   18.7.2013 06:01:37
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes   30.8.2013 10:07:23
AEHEUR.DLL     : 8.1.4.608    6148474 Bytes    6.9.2013 20:43:31
AEHELP.DLL     : 8.1.27.6      266617 Bytes   30.8.2013 10:07:20
AEGEN.DLL      : 8.1.7.14      446839 Bytes    6.9.2013 20:43:29
AEEXP.DLL      : 8.4.1.60      323959 Bytes    6.9.2013 20:43:31
AEEMU.DLL      : 8.1.3.2       393587 Bytes  29.11.2012 10:25:29
AECORE.DLL     : 8.1.32.0      201081 Bytes   30.8.2013 10:07:20
AEBB.DLL       : 8.1.1.4        53619 Bytes  29.11.2012 10:25:29
AVWINLL.DLL    : 13.6.20.2174    23608 Bytes    6.9.2013 20:43:26
AVPREF.DLL     : 13.6.20.2174    48184 Bytes    6.9.2013 20:43:35
AVREP.DLL      : 13.6.20.2174   175672 Bytes    6.9.2013 20:43:36
AVARKT.DLL     : 13.6.20.2174   258104 Bytes    6.9.2013 20:43:32
AVEVTLOG.DLL   : 13.6.20.2174   165432 Bytes    6.9.2013 20:43:34
SQLITE3.DLL    : 3.7.0.1       394824 Bytes   18.7.2013 06:02:21
AVSMTP.DLL     : 13.6.20.2174    60472 Bytes    6.9.2013 20:43:36
NETNT.DLL      : 13.6.20.2174    13368 Bytes    6.9.2013 20:43:50
RCIMAGE.DLL    : 13.6.20.2174  4786744 Bytes    6.9.2013 20:43:26
RCTEXT.DLL     : 13.6.20.2174    68152 Bytes    6.9.2013 20:43:26

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 8. September 2013  11:37

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpabaln.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '911' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Lisa\Eigene Dateien\Downloads\UltimateCodec.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCo.HF
C:\Dokumente und Einstellungen\Lisa\Lokale Einstellungen\Temp\is357113909\303120703_Setup.EXE
    [0] Archivtyp: NSIS
    --> ProgramFilesDir/131.dll
        [FUND]      Enthält Erkennungsmuster der Adware ADWARE/AddLyrics.K.14
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Dokumente und Einstellungen\Lisa\Lokale Einstellungen\Temp\is357113909\uninstaller.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
C:\System Volume Information\_restore{BB671F0A-3D03-4505-940A-65E85A7766F1}\RP1\A0000004.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BB671F0A-3D03-4505-940A-65E85A7766F1}\RP1\A0000004.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Lisa\Lokale Einstellungen\Temp\is357113909\uninstaller.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCore.Gen
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Lisa\Lokale Einstellungen\Temp\is357113909\303120703_Setup.EXE
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/AddLyrics.K.14
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Lisa\Eigene Dateien\Downloads\UltimateCodec.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/InstallCo.HF
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Sonntag, 8. September 2013  12:34
Benötigte Zeit: 56:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6993 Verzeichnisse wurden überprüft
 212006 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 212002 Dateien ohne Befall
   1758 Archive wurden durchsucht
      5 Warnungen
      0 Hinweise
 141295 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Defogger Log:

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:11 on 08/09/2013 (Lisa)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

Addition Log:

Code: Alles auswählenAufklappen

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 08-09-2013
Ran by Lisa at 2013-09-08 11:17:59
Running from C:\Dokumente und Einstellungen\Lisa\Eigene Dateien\Downloads
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Adobe Flash Player 11 Plugin (Version: 11.8.800.94)
Adobe Shockwave Player 12.0 (Version: 12.0.3.133)
Avira Free Antivirus (Version: 13.0.0.4052)
CCleaner (Version: 4.04)
Codec Pack Packages
DivX-Setup (Version: 2.6.1.8)
Google Chrome (HKCU Version: 29.0.1547.57)
Google Update Helper (Version: 1.3.23.0)
Intel(R) PRO Network Connections Drivers (Version: 9.01.00)
Intel(R) PROSafe for Wired Connections (Version: 8.00.0005)
Intel(R) PROSafe for Wired Connections (Version: 99.99.9999)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 23.0.1 (x86 de) (Version: 23.0.1)
Mozilla Maintenance Service (Version: 23.0.1)
Skype™ 6.7 (Version: 6.7.102)
SoundMAX (Version: 5.12.01.3621)
swMSM (Version: 12.0.0.1)
Update for Codec Pack
VC80CRTRedist - 8.0.50727.6195 (Version: 1.2.0)
VLC media player 2.0.8 (Version: 2.0.8)
WebFldrs XP (Version: 9.50.7523)
Wsys Control 10.2.1.2612 (Version: 10.2.1.2612)
Zip Opener Packages
 

==================== Restore Points  =========================

08-09-2013 08:46:57 Systemprüfpunkt

==================== Hosts content: ==========================

2008-04-14 14:00 - 2008-04-14 14:00 - 00000820 ____N C:\WINDOWS\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Scheduled Tasks (whitelisted) =============

Task: C:\WINDOWS\Tasks\At1.job => C:\DOKUME~1\Lisa\ANWEND~1\DSite\UPDATE~1\UPDATE~1.EXE
Task: C:\WINDOWS\Tasks\At2.job => C:\DOKUME~1\Lisa\ANWEND~1\Dealply\UPDATE~1\UPDATE~1.EXE

==================== Loaded Modules (whitelisted) =============

2013-08-30 12:06 - 2013-07-18 08:02 - 00394824 _____ () C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
2013-08-30 12:06 - 2013-07-18 08:01 - 00154112 _____ (Avira GmbH) C:\Programme\Avira\AntiVir Desktop\apcfile.dll
2013-08-30 12:06 - 2013-01-25 10:25 - 00257536 _____ (The cURL library, hxxp://curl.haxx.se/) C:\Programme\Avira\AntiVir Desktop\libcurl.dll
2013-02-13 04:38 - 2013-02-13 04:38 - 00100688 _____ () C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll
2013-08-24 14:33 - 2013-08-14 19:55 - 03551640 _____ () C:\Programme\Mozilla Firefox\mozjs.dll
2013-08-23 19:32 - 2013-08-23 19:32 - 16166280 _____ () C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll

==================== Alternate Data Streams (whitelisted) ==========


==================== Faulty Device Manager Devices =============

Name: Videocontroller (VGA-kompatibel)
Description: Videocontroller (VGA-kompatibel)
Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Manufacturer: 
Service: 
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
Description: Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
Class Guid: {4D36E96B-E325-11CE-BFC1-08002BE10318}
Manufacturer: (Standardtastaturen)
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: PS/2-kompatible Maus
Description: PS/2-kompatible Maus
Class Guid: {4D36E96F-E325-11CE-BFC1-08002BE10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


==================== Event log errors: =========================

Application errors:
==================
Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf) (User: )
Description: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 2780 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf) (User: )
Description: Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für
Dienst TermService (Terminaldienste). Der Fehlercode ist das erste DWORD im Datenbereich.

Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf) (User: )
Description: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 2780 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf) (User: )
Description: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 2780 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Error: (09/08/2013 10:26:59 AM) (Source: LoadPerf) (User: )
Description: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 2780 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.

Error: (09/08/2013 10:26:59 AM) (Source: LoadPerf) (User: )
Description: Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung
ist falsch formatiert. Die ungültige Zeichenfolge ist 2780 und der ungültige
Indexwert ist das erste DWORD im Datenbereich, während die letzten gültigen
Indexwerte die zweiten und dritten DWORD im Datenbereich sind.


System errors:
=============
Error: (09/08/2013 10:47:23 AM) (Source: System Error) (User: )
Description: Fehlercode 1000007f, 1. Parameter 00000008, 2. Parameter 80042000, 3. Parameter 00000000, 4. Parameter 00000000.

Error: (09/08/2013 10:47:17 AM) (Source: System Error) (User: )
Description: Fehlercode 0000000a, 1. Parameter 00000004, 2. Parameter 00000002, 3. Parameter 00000000, 4. Parameter 804e661f.

Error: (09/08/2013 10:47:04 AM) (Source: System Error) (User: )
Description: Fehlercode 0000004e, 1. Parameter 00000099, 2. Parameter 00000000, 3. Parameter 00000000, 4. Parameter 00000000.

Error: (09/08/2013 10:44:31 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "WajamUpdater" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%3

Error: (09/08/2013 10:44:31 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Wsys Service" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%193

Error: (09/08/2013 10:42:47 AM) (Source: Setup) (User: )
Description: Während der Installation sind Fehler aufgetreten. Weitere Informationen finden Sie in der Datei "setuperr.log" im Windows-Verzeichnis.

Error: (09/08/2013 10:38:59 AM) (Source: DCOM) (User: NT-AUTORITÄT)
Description: Bei DCOM ist der Fehler "%%1058" aufgetreten, als der Dienst "SENS" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}

Error: (09/08/2013 10:38:58 AM) (Source: DCOM) (User: NT-AUTORITÄT)
Description: Bei DCOM ist der Fehler "%%1058" aufgetreten, als der Dienst "SENS" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}


Microsoft Office Sessions:
=========================
Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf)(User: )
Description: 2780

Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf)(User: )
Description: TermServiceTerminaldienste

Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf)(User: )
Description: 2780

Error: (09/08/2013 10:36:40 AM) (Source: LoadPerf)(User: )
Description: 2780

Error: (09/08/2013 10:26:59 AM) (Source: LoadPerf)(User: )
Description: 2780

Error: (09/08/2013 10:26:59 AM) (Source: LoadPerf)(User: )
Description: 2780


==================== Memory info =========================== 

Percentage of memory in use: 50%
Total physical RAM: 1014.98 MB
Available physical RAM: 507.31 MB
Total Pagefile: 2444.98 MB
Available Pagefile: 1854.18 MB
Total Virtual: 2047.88 MB
Available Virtual: 1969.59 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:37.3 GB) (Free:26.23 GB) NTFS ==>[Drive with boot components (Windows XP)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 37 GB) (Disk ID: 2BCA2BC9)
Partition 1: (Active) - (Size=37 GB) - (Type=07 NTFS)

==================== End Of Log ============================
         

Hi,

schauen wir mal.


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Software.
• Suche und deinstalliere dort folgenden Eintrag:
  • Zip Opener Packages
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hi,

Der Log von FRST ist zu lang für einen Beitrag?

Also:

ADW Cleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v3.003 - Bericht erstellt am 08/09/2013 um 13:10:31
# Updated 07/09/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzername : Lisa - LISA-AA587EA51D
# Gestartet von : C:\Dokumente und Einstellungen\Lisa\Eigene Dateien\Downloads\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****

[#] Dienst Gelöscht : WajamUpdater
[#] Dienst Gelöscht : WsysSvc

***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Babylon
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DealPlyLive
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\eSafe
Ordner Gelöscht : C:\Programme\BrowserCompanion
Ordner Gelöscht : C:\Programme\Conduit
Ordner Gelöscht : C:\Programme\DealPly
Ordner Gelöscht : C:\Programme\DealPlyLive
Ordner Gelöscht : C:\Programme\optimizer pro
Ordner Gelöscht : C:\Dokumente und Einstellungen\Lisa\Lokale Einstellungen\Anwendungsdaten\DealPlyLive
Ordner Gelöscht : C:\DOKUME~1\Lisa\LOKALE~1\Temp\eIntaller
Ordner Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\0D0S1L2Z1P1B0T1P1B2Z
Ordner Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Babylon
Ordner Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\DealPly
Ordner Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\DSite
Ordner Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\OpenCandy
Datei Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Mozilla\Firefox\Profiles\al5arvhx.default\\invalidprefs.js
Datei Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Mozilla\Firefox\Profiles\al5arvhx.default\searchplugins\ask-search.xml
Datei Gelöscht : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Mozilla\Firefox\Profiles\al5arvhx.default\user.js

***** [ Verknüpfungen ] *****

Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Mozilla Firefox.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Lisa\Desktop\Google Chrome.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Mozilla Firefox.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Lisa\Startmenü\Programme\Internet Explorer.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Lisa\Startmenü\Programme\Google Chrome\Google Chrome.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk

***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\speedupmypc
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dealplylive.exe
Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WajamUpdater
Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Daten Wiederhergestellt : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
Schlüssel Gelöscht : HKCU\Software\dealplylive
Schlüssel Gelöscht : HKCU\Software\delta LTD
Schlüssel Gelöscht : HKCU\Software\Delta
Schlüssel Gelöscht : HKCU\Software\dsiteproducts
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\lyrixeeker
Schlüssel Gelöscht : HKLM\Software\BabylonToolbar
Schlüssel Gelöscht : HKLM\Software\dealplylive
Schlüssel Gelöscht : HKLM\Software\Delta
Schlüssel Gelöscht : HKLM\Software\eSafeSecControl
Schlüssel Gelöscht : HKLM\Software\qvo6Software
Schlüssel Gelöscht : HKLM\Software\Uniblue\DriverScanner
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WSysControl
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WSysControl

***** [ Browser ] *****

-\\ Internet Explorer v6.0.2900.5512

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]

-\\ Mozilla Firefox v23.0.1 (de)

[ Datei : C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten\Mozilla\Firefox\Profiles\al5arvhx.default\prefs.js ]

Zeile gelöscht : user_pref("extensions.delta.admin", false);
Zeile gelöscht : user_pref("extensions.delta.aflt", "babsst");
Zeile gelöscht : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Zeile gelöscht : user_pref("extensions.delta.autoRvrt", "false");
Zeile gelöscht : user_pref("extensions.delta.bbDpng", "8");
Zeile gelöscht : user_pref("extensions.delta.cntry", "DE");
Zeile gelöscht : user_pref("extensions.delta.dfltLng", "de");
Zeile gelöscht : user_pref("extensions.delta.excTlbr", false);
Zeile gelöscht : user_pref("extensions.delta.ffxUnstlRst", true);
Zeile gelöscht : user_pref("extensions.delta.hdrMd5", "3340DA8262B56A0B7BFE268B4728F89B");
Zeile gelöscht : user_pref("extensions.delta.id", "08d8829000000000000000300553e1a4");
Zeile gelöscht : user_pref("extensions.delta.instlDay", "15956");
Zeile gelöscht : user_pref("extensions.delta.instlRef", "sst");
Zeile gelöscht : user_pref("extensions.delta.lastVrsnTs", "1.8.24.63:00:27");
Zeile gelöscht : user_pref("extensions.delta.newTab", false);
Zeile gelöscht : user_pref("extensions.delta.prdct", "delta");
Zeile gelöscht : user_pref("extensions.delta.prtnrId", "delta");
Zeile gelöscht : user_pref("extensions.delta.rvrt", "false");
Zeile gelöscht : user_pref("extensions.delta.sg", "czb");
Zeile gelöscht : user_pref("extensions.delta.smplGrp", "none");
Zeile gelöscht : user_pref("extensions.delta.tlbrId", "base");
Zeile gelöscht : user_pref("extensions.delta.tlbrSrchUrl", "");
Zeile gelöscht : user_pref("extensions.delta.vrsn", "1.8.24.6");
Zeile gelöscht : user_pref("extensions.delta.vrsnTs", "1.8.24.63:00:27");
Zeile gelöscht : user_pref("extensions.delta.vrsni", "1.8.24.6");
Zeile gelöscht : user_pref("extensions.delta_i.babExt", "");
Zeile gelöscht : user_pref("extensions.delta_i.babTrack", "affID=119357&tsp=4999");
Zeile gelöscht : user_pref("extensions.delta_i.srcExt", "ss");
Zeile gelöscht : user_pref("extensions.wajam.affiliate_id", "6447");
Zeile gelöscht : user_pref("extensions.wajam.firstrun", "false");
Zeile gelöscht : user_pref("extensions.wajam.log_send_info", "false");
Zeile gelöscht : user_pref("extensions.wajam.mappingListJsonString", "{\"version\":\"0.21087\",\"update_interval\":1415,\"base_url\":\"hxxp:\\/\\/www.wajam.com\\/\",\"update_url\":\"hxxp:\\/\\/www.wajam.com\\/addon\\/[...]
Zeile gelöscht : user_pref("extensions.wajam.no_trace", "false");
Zeile gelöscht : user_pref("extensions.wajam.server_current_mapping_version", "0.21087");
Zeile gelöscht : user_pref("extensions.wajam.supported_sites.encryptedgoogle.wajam_google_js", "try {window['APP_LABEL_NAME'] = 'wajam';window['APP_LABEL_NAME_FULL_UC'] = 'WAJAM';window['WAJAM_APP_LABEL_NAME_UC'] = 'W[...]
Zeile gelöscht : user_pref("extensions.wajam.supported_sites.google.wajam_google_se_js", "try {window['APP_LABEL_NAME'] = 'wajam';window['APP_LABEL_NAME_FULL_UC'] = 'WAJAM';window['WAJAM_APP_LABEL_NAME_UC'] = 'Wajam';[...]
Zeile gelöscht : user_pref("extensions.wajam.trace_log", "1378602056499 - processInstallationUpgrade - version set to : 1.26\n1378602056500 - processBrowserLoad - Bad mappingListJsonString: null\n1378602057343 - onFla[...]
Zeile gelöscht : user_pref("extensions.wajam.unique_id", "91D6F0222373CC5217D90635740D1B25");
Zeile gelöscht : user_pref("extensions.wajam.user_current_mapping_version", "0");
Zeile gelöscht : user_pref("extensions.wajam.version", "1.26");

-\\ Google Chrome v

[ Datei : C:\Dokumente und Einstellungen\Lisa\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\preferences ]

Gelöscht : homepage
Gelöscht : search_url
Gelöscht : keyword
Gelöscht : urls_to_restore_on_startup

*************************

AdwCleaner[R0].txt - [10575 octets] - [08/09/2013 13:08:46]
AdwCleaner[S0].txt - [8881 octets] - [08/09/2013 13:10:31]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [8941 octets] ##########
         

Zitat:

Der Log von FRST ist zu lang für einen Beitrag?

Dann zippen und anhängen wie im ersten Post.

Okay

Und wie läuft der Rechner? Alles normal jetzt?


Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\qvo6.xml
S3 esgiguard; \??\C:\Programme\Enigma Software Group\SpyHunter\esgiguard.sys [x]
Task: C:\WINDOWS\Tasks\At1.job => C:\DOKUME~1\Lisa\ANWEND~1\DSite\UPDATE~1\UPDATE~1.EXE
Task: C:\WINDOWS\Tasks\At2.job => C:\DOKUME~1\Lisa\ANWEND~1\Dealply\UPDATE~1\UPDATE~1.EXE
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi, mal ne Frage.

Bekomme die ganze Zeit iwelche Bluescreens, so dass der letzte Scan nicht ganz durchlaufen kann.

Memory Management und IRQL not less or equal steht dort.

Was heißt das?

Hi,

was sind denn die genauen Angaben des Bluescreens (Stop-code etc.)? (allenfalls: Systemsteuerung -> System -> Erweitert -> Starten und Wiederherstellen -> Einstellungen -> Systemfehler: Haken bei "Automatischer Neustart durchführen" entfernen)

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.

Zitat:

was sind denn die genauen Angaben des Bluescreens (Stop-code etc.)?

Das sind immer verschiedene, aber meistens kommt das:

Page fault in nonpaged area ... STOP 0x00000050 ( 0xFF00F124, 0x00000000, 0x804E2B1C, 0x00000000 )

und:

Irql not less or equal ... STOP 0x0000000A ( 0x41A23210, 0x00000002, 0x00000001, 0x804E6641 )

Jetzt kam die Meldung: win32k.sys - address BF80FB93, base at BF800000, Datestamp 5202f409

Das sieht eher nach einem Hardware/Treiber-Problem aus.
Ich würd mal im Hardware-Unterforum fragen, ob jemand dabei helfen kann.