Hallo Zusammen,
ich habe da ein Problem. Gestern kam ein Kumpel mit seinem Laptop zu mir und sagte er habe einen GVU/BKA Trojaner drauf und könne fast nix mehr machen. Sein Virenscanner (Bitdefender) hat da wahrscheinlich schon ein bischen rumgewustelt. Nach seinen Beschreibungen des Aussehen des Desktop, Webcam war gestartet usw., gehe ich davon aus, das es der GVU Trojaner 2.12 ist/war. Man hat jetzt zwar wieder Zugriff auf den Laptop aber er zeigt merkwürdige Verhalten, ist träge, hängt öfters, kaum ein Programm startet vernünftig und das WLAN Icon im Systray ist falsch bzw. hängt im Ladezustand.
Auch im Abgesicherten Modus ist kein Start möglich.

Nach Anleitung habe ich hier mal eine FRST.txt erstellen lassen.

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 29-01-2014 01
Ran by SYSTEM on MININT-35J7H12 on 30-01-2014 10:54:39
Running from G:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.


The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ 
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ 
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [9955872 2010-01-12] (Realtek Semiconductor)
HKLM\...\Run: [fspuip] - C:\Program Files\FSP\fspuip.exe [3770368 2010-01-06] (Sentelic Corporation)
HKLM\...\Run: [Bdagent] - C:\Program Files\Bitdefender\Bitdefender 2013\bdagent.exe [1575192 2013-10-24] (Bitdefender)
HKLM-x32\...\Run: [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284696 2009-11-20] (Intel Corporation)
HKLM-x32\...\Run: [HotKeyOSD] - C:\Program Files (x86)\Hotkey OSD Driver\HotKeyOSD.exe [232528 2010-01-18] (Dritek System Inc.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [LexwareInfoService] - C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe [339312 2010-09-15] (Haufe-Lexware GmbH & Co. KG)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)

==================== Services (Whitelisted) =================

S2 UPDATESRV; C:\Program Files\Bitdefender\Bitdefender 2013\updatesrv.exe [67320 2013-10-24] (Bitdefender)
S2 VSSERV; C:\Program Files\Bitdefender\Bitdefender 2013\vsserv.exe [1645256 2013-10-24] (Bitdefender)
S2 Winmgmt; C:\Users\Sandra\AppData\Local\Temp\8zbodqg9.zvv [x]

==================== Drivers (Whitelisted) ====================

S0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [727592 2013-10-24] (BitDefender)
S3 avchv; C:\Windows\System32\DRIVERS\avchv.sys [261056 2012-12-19] (BitDefender)
S3 avckf; C:\Windows\System32\DRIVERS\avckf.sys [601360 2013-10-24] (BitDefender)
S1 bdfwfpf; C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [103504 2011-11-14] (BitDefender LLC)
S3 BDSandBox; C:\Windows\system32\drivers\bdsandbox.sys [82824 2013-10-24] (BitDefender SRL)
S0 gzflt; C:\Windows\System32\DRIVERS\gzflt.sys [150256 2013-10-24] (BitDefender LLC)
S0 trufos; C:\Windows\System32\DRIVERS\trufos.sys [389240 2013-10-24] (BitDefender S.R.L.)
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-30 10:54 - 2014-01-30 10:54 - 00000000 ____D C:\FRST
2014-01-30 00:07 - 2014-01-30 00:07 - 00000000 ____D C:\Windows\LastGood
2014-01-29 23:20 - 2014-01-29 23:20 - 00000000 ____D C:\Medion
2014-01-29 22:52 - 2014-01-29 22:52 - 00000000 ____D C:\Windows\ERUNT
2014-01-29 19:54 - 2014-01-29 22:42 - 00000000 ____D C:\AdwCleaner
2014-01-29 17:50 - 2014-01-29 17:50 - 00000282 ____H C:\Windows\Tasks\User_Feed_Synchronization-{CED04B67-25C1-42D5-A176-8E52FEFC339D}.job
2014-01-13 16:26 - 2014-01-13 16:26 - 00000000 ____D C:\Users\Sandra\AppData\Local\Haufe-Lexware_GmbH_&_Co._
2014-01-13 16:25 - 2014-01-13 16:25 - 00002773 _____ C:\Users\Public\Desktop\Lexware zeitmanagement.lnk
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\Users\Sandra\AppData\Roaming\Lexware
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\ProgramData\Lexware
2014-01-13 16:20 - 2014-01-15 15:32 - 00000000 ____D C:\Users\Sandra\AppData\Local\Lexware
2014-01-13 16:20 - 2014-01-13 16:25 - 00000000 ____D C:\Program Files (x86)\lexware
2014-01-13 16:17 - 2014-01-13 16:17 - 110063680 _____ C:\Users\Sandra\Downloads\Zeitmanagement2011.exe

==================== One Month Modified Files and Folders =======

2014-01-30 10:54 - 2014-01-30 10:54 - 00000000 ____D C:\FRST
2014-01-30 00:12 - 2012-07-04 16:25 - 01634941 _____ C:\Windows\WindowsUpdate.log
2014-01-30 00:12 - 2009-07-14 05:45 - 00021664 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-30 00:12 - 2009-07-14 05:45 - 00021664 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-30 00:07 - 2014-01-30 00:07 - 00000000 ____D C:\Windows\LastGood
2014-01-30 00:06 - 2012-07-10 14:15 - 00076603 _____ C:\Windows\setupact.log
2014-01-30 00:06 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-29 23:54 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\NDF
2014-01-29 23:23 - 2013-11-06 11:24 - 00000000 ____D C:\Users\Sandra\Documents\TimePanic
2014-01-29 23:20 - 2014-01-29 23:20 - 00000000 ____D C:\Medion
2014-01-29 22:52 - 2014-01-29 22:52 - 00000000 ____D C:\Windows\ERUNT
2014-01-29 22:42 - 2014-01-29 19:54 - 00000000 ____D C:\AdwCleaner
2014-01-29 22:29 - 2009-07-14 06:08 - 00032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2014-01-29 17:50 - 2014-01-29 17:50 - 00000282 ____H C:\Windows\Tasks\User_Feed_Synchronization-{CED04B67-25C1-42D5-A176-8E52FEFC339D}.job
2014-01-27 19:29 - 2012-12-08 11:27 - 00003938 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{CED04B67-25C1-42D5-A176-8E52FEFC339D}
2014-01-26 19:10 - 2010-11-21 07:50 - 00654166 _____ C:\Windows\System32\perfh007.dat
2014-01-26 19:10 - 2010-11-21 07:50 - 00130006 _____ C:\Windows\System32\perfc007.dat
2014-01-26 19:10 - 2009-07-14 06:13 - 01498506 _____ C:\Windows\System32\PerfStringBackup.INI
2014-01-15 15:32 - 2014-01-13 16:20 - 00000000 ____D C:\Users\Sandra\AppData\Local\Lexware
2014-01-13 16:26 - 2014-01-13 16:26 - 00000000 ____D C:\Users\Sandra\AppData\Local\Haufe-Lexware_GmbH_&_Co._
2014-01-13 16:25 - 2014-01-13 16:25 - 00002773 _____ C:\Users\Public\Desktop\Lexware zeitmanagement.lnk
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\Users\Sandra\AppData\Roaming\Lexware
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\ProgramData\Lexware
2014-01-13 16:25 - 2014-01-13 16:20 - 00000000 ____D C:\Program Files (x86)\lexware
2014-01-13 16:17 - 2014-01-13 16:17 - 110063680 _____ C:\Users\Sandra\Downloads\Zeitmanagement2011.exe

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-11-01 16:05:48
Restore point made on: 2013-11-06 11:21:26
Restore point made on: 2013-11-15 14:52:37
Restore point made on: 2013-12-03 13:18:26
Restore point made on: 2013-12-23 13:31:56
Restore point made on: 2014-01-03 19:24:33
Restore point made on: 2014-01-12 22:37:09
Restore point made on: 2014-01-13 16:21:59
Restore point made on: 2014-01-29 23:22:49

==================== Memory info =========================== 

Percentage of memory in use: 15%
Total physical RAM: 3893.86 MB
Available physical RAM: 3285.54 MB
Total Pagefile: 3892.06 MB
Available Pagefile: 3272.26 MB
Total Virtual: 8192 MB
Available Virtual: 8191.88 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:250.01 GB) (Free:204.78 GB) NTFS
Drive e: (Volume) (Fixed) (Total:215.66 GB) (Free:215.53 GB) NTFS
Drive g: (STICK) (Removable) (Total:0.97 GB) (Free:0.97 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.04 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 29A7F6BB)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=250 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=216 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 1000 MB) (Disk ID: 91F72D24)
Partition 1: (Active) - (Size=1000 MB) - (Type=0B)


LastRegBack: 2014-01-19 15:39

==================== End Of Log ============================
         

Wäre bitte jemand so nett und könnte mir eine Fixlist.txt draus machen.

Wäre super!
Vielen Dank

Hi,

warum hast du über den Recoverymod edas Log erstellt, das System bootet doch normal oder nicht?

Weil ich's hier irgendwo in einer Anleitung so gelesen habe.
Hier vom laufenden System:


FRST.txt

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 29-01-2014 01
Ran by Sandra (administrator) on SANDRA-PC on 30-01-2014 12:25:03
Running from F:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal


ATTENTION: If processes are not listed WMI should be repaired.


==================== Processes (Whitelisted) =================



==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [9955872 2010-01-12] (Realtek Semiconductor)
HKLM\...\Run: [fspuip] - C:\Program Files\FSP\fspuip.exe [3770368 2010-01-06] (Sentelic Corporation)
HKLM\...\Run: [Bdagent] - C:\Program Files\Bitdefender\Bitdefender 2013\bdagent.exe [1575192 2013-10-24] (Bitdefender)
HKLM-x32\...\Run: [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284696 2009-11-20] (Intel Corporation)
HKLM-x32\...\Run: [HotKeyOSD] - C:\Program Files (x86)\Hotkey OSD Driver\HotKeyOSD.exe [232528 2010-01-18] (Dritek System Inc.)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [LexwareInfoService] - C:\Program Files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe [339312 2010-09-15] (Haufe-Lexware GmbH & Co. KG)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x2AA4FD66035ACD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\Sandra\AppData\Roaming\Mozilla\Firefox\Profiles\quj0wgd8.default
FF Homepage: https://www.google.de/
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml

==================== Services (Whitelisted) =================

R2 UPDATESRV; C:\Program Files\Bitdefender\Bitdefender 2013\updatesrv.exe [67320 2013-10-24] (Bitdefender)
R2 VSSERV; C:\Program Files\Bitdefender\Bitdefender 2013\vsserv.exe [1645256 2013-10-24] (Bitdefender)
S2 Winmgmt; C:\Users\Sandra\AppData\Local\Temp\8zbodqg9.zvv [x]

==================== Drivers (Whitelisted) ====================

R0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [727592 2013-10-24] (BitDefender)
R3 avchv; C:\Windows\System32\DRIVERS\avchv.sys [261056 2012-12-19] (BitDefender)
R3 avckf; C:\Windows\System32\DRIVERS\avckf.sys [601360 2013-10-24] (BitDefender)
R1 bdfwfpf; C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [103504 2011-11-14] (BitDefender LLC)
S3 BDSandBox; C:\Windows\system32\drivers\bdsandbox.sys [82824 2013-10-24] (BitDefender SRL)
R0 gzflt; C:\Windows\System32\DRIVERS\gzflt.sys [150256 2013-10-24] (BitDefender LLC)
S3 Serial; C:\Windows\system32\drivers\serial.sys [94208 2009-07-14] (Brother Industries Ltd.)
R0 trufos; C:\Windows\System32\DRIVERS\trufos.sys [389240 2013-10-24] (BitDefender S.R.L.)
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-01-30 11:33 - 2014-01-30 11:36 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2014-01-30 11:33 - 2013-04-04 14:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbam.sys
2014-01-30 11:18 - 2014-01-30 11:18 - 00091352 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2014-01-30 10:54 - 2014-01-30 12:15 - 00000000 ____D C:\FRST
2014-01-29 23:20 - 2014-01-29 23:20 - 00000000 ____D C:\Medion
2014-01-29 22:52 - 2014-01-29 22:52 - 00000000 ____D C:\Windows\ERUNT
2014-01-29 19:54 - 2014-01-29 22:42 - 00000000 ____D C:\AdwCleaner
2014-01-29 17:50 - 2014-01-29 17:50 - 00000282 ____H C:\Windows\Tasks\User_Feed_Synchronization-{CED04B67-25C1-42D5-A176-8E52FEFC339D}.job
2014-01-13 16:26 - 2014-01-13 16:26 - 00000000 ____D C:\Users\Sandra\AppData\Local\Haufe-Lexware_GmbH_&_Co._
2014-01-13 16:25 - 2014-01-13 16:25 - 00002773 _____ C:\Users\Public\Desktop\Lexware zeitmanagement.lnk
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\Users\Sandra\AppData\Roaming\Lexware
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\ProgramData\Lexware
2014-01-13 16:20 - 2014-01-15 15:32 - 00000000 ____D C:\Users\Sandra\AppData\Local\Lexware
2014-01-13 16:20 - 2014-01-13 16:25 - 00000000 ____D C:\Program Files (x86)\lexware
2014-01-13 16:17 - 2014-01-13 16:17 - 110063680 _____ C:\Users\Sandra\Downloads\Zeitmanagement2011.exe

==================== One Month Modified Files and Folders =======

2014-01-30 12:21 - 2009-07-14 05:45 - 00021664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-01-30 12:21 - 2009-07-14 05:45 - 00021664 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-01-30 12:18 - 2012-07-04 16:25 - 01643944 _____ C:\Windows\WindowsUpdate.log
2014-01-30 12:15 - 2014-01-30 10:54 - 00000000 ____D C:\FRST
2014-01-30 12:13 - 2012-07-10 14:15 - 00076771 _____ C:\Windows\setupact.log
2014-01-30 12:13 - 2010-11-21 04:47 - 00012100 _____ C:\Windows\PFRO.log
2014-01-30 12:13 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-30 11:36 - 2014-01-30 11:33 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2014-01-30 11:31 - 2009-07-14 06:32 - 00000000 ____D C:\Windows\addins
2014-01-30 11:18 - 2014-01-30 11:18 - 00091352 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2014-01-29 23:54 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\NDF
2014-01-29 23:23 - 2013-11-06 11:24 - 00000000 ____D C:\Users\Sandra\Documents\TimePanic
2014-01-29 23:20 - 2014-01-29 23:20 - 00000000 ____D C:\Medion
2014-01-29 22:52 - 2014-01-29 22:52 - 00000000 ____D C:\Windows\ERUNT
2014-01-29 22:42 - 2014-01-29 19:54 - 00000000 ____D C:\AdwCleaner
2014-01-29 22:29 - 2009-07-14 06:08 - 00032640 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2014-01-29 19:23 - 2012-07-04 16:38 - 00000000 ___RD C:\Users\Sandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-01-29 17:50 - 2014-01-29 17:50 - 00000282 ____H C:\Windows\Tasks\User_Feed_Synchronization-{CED04B67-25C1-42D5-A176-8E52FEFC339D}.job
2014-01-27 19:29 - 2012-12-08 11:27 - 00003938 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{CED04B67-25C1-42D5-A176-8E52FEFC339D}
2014-01-26 19:10 - 2010-11-21 07:50 - 00654166 _____ C:\Windows\system32\perfh007.dat
2014-01-26 19:10 - 2010-11-21 07:50 - 00130006 _____ C:\Windows\system32\perfc007.dat
2014-01-26 19:10 - 2009-07-14 06:13 - 01498506 _____ C:\Windows\system32\PerfStringBackup.INI
2014-01-15 15:32 - 2014-01-13 16:20 - 00000000 ____D C:\Users\Sandra\AppData\Local\Lexware
2014-01-13 16:26 - 2014-01-13 16:26 - 00000000 ____D C:\Users\Sandra\AppData\Local\Haufe-Lexware_GmbH_&_Co._
2014-01-13 16:25 - 2014-01-13 16:25 - 00002773 _____ C:\Users\Public\Desktop\Lexware zeitmanagement.lnk
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\Users\Sandra\AppData\Roaming\Lexware
2014-01-13 16:25 - 2014-01-13 16:25 - 00000000 ____D C:\ProgramData\Lexware
2014-01-13 16:25 - 2014-01-13 16:20 - 00000000 ____D C:\Program Files (x86)\lexware
2014-01-13 16:17 - 2014-01-13 16:17 - 110063680 _____ C:\Users\Sandra\Downloads\Zeitmanagement2011.exe

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2014-01-19 15:39

==================== End Of Log ============================
         

--- --- ---


Addition.txt

Code: Alles auswählenAufklappen

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 29-01-2014 01
Ran by Sandra at 2014-01-30 12:26:15
Running from F:\
Boot Mode: Normal
==========================================================


==================== Security Center ========================


==================== Installed Programs ======================

Adobe Flash Player 11 ActiveX (x32 Version: 11.3.300.257 - Adobe Systems Incorporated)
Adobe Reader X (10.1.9) - Deutsch (x32 Version: 10.1.9 - Adobe Systems Incorporated)
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver (x32 Version: 1.0.0.24 - Atheros Communications Inc.)
Bitdefender Antivirus Plus 2013 (Version: 16.16.0.1348 - Bitdefender)
Bizerba Transform-Journal (x32 Version: 1.00.0000 - Bizerba GmbH & Co. KG)
Cisco EAP-FAST Module (x32 Version: 2.2.14 - Cisco Systems, Inc.)
Cisco LEAP Module (x32 Version: 1.0.19 - Cisco Systems, Inc.)
Cisco PEAP Module (x32 Version: 1.1.6 - Cisco Systems, Inc.)
Easy CD-DA Extractor 16 (x32 Version: 16 - Poikosoft)
Finger Sensing Pad Driver (Version: 8.5.7.2 - Sentelic)
Garmin USB Drivers (x32 Version: 2.3.1.0 - Garmin Ltd or its subsidiaries)
Garmin WebUpdater (x32 Version: 2.5.6 - Garmin Ltd or its subsidiaries)
Hotkey OSD Driver (x32 Version: 1.0.03 - Dritek System Inc.)
Intel(R) Graphics Media Accelerator Driver (x32 Version: 8.15.10.2086 - Intel Corporation)
Intel(R) PROSet/Wireless WiFi-Software (Version: 13.00.0000 - Intel Corporation)
Intel(R) Rapid Storage Technology (x32 Version: 9.5.4.1001 - Intel Corporation)
Lexware Info Service (x32 Version: 2.70.00.0081 - Haufe-Lexware GmbH & Co.KG)
Lexware zeitmanagement 2011 (x32 Version: 2.05.00.0169 - Haufe-Lexware GmbH & Co.KG)
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300 - Malwarebytes Corporation)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation) Hidden
Microsoft Office Access MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Excel MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office InfoPath MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Office 64-bit Components 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Outlook MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office PowerPoint MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Professional Plus 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation)
Microsoft Office Professional Plus 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Proof (English) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Proof (French) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Proof (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Proof (Italian) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Proofing (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Publisher MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Shared 64-bit MUI (German) 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Shared MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Word MUI (German) 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.40219 (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox 26.0 (x86 de) (x32 Version: 26.0 - Mozilla)
Mozilla Maintenance Service (x32 Version: 26.0 - Mozilla)
MyPhoneExplorer (x32 Version: 1.8.5 - F.J. Wechselberger)
Realtek High Definition Audio Driver (x32 Version: 6.0.1.6024 - Realtek Semiconductor Corp.)
Realtek USB 2.0 Card Reader (x32 Version: 6.1.7600.30101 - Realtek Semiconductor Corp.)
RealTek Wireless LAN Client Adapter (x32 Version: 1.03.0908 - QMI)
REALTEK Wireless LAN Driver (x32 Version: 1.00.0120 - REALTEK Semiconductor Corp.)
WIDCOMM Bluetooth Software (Version: 6.2.1.900 - Broadcom Corporation)
Windows Driver Package - Broadcom Bluetooth  (07/30/2009 6.2.0.9405) (Version: 07/30/2009 6.2.0.9405 - Broadcom)
Windows Driver Package - Broadcom Bluetooth  (09/11/2009 6.2.0.9500) (Version: 09/11/2009 6.2.0.9500 - Broadcom)
Windows Driver Package - Broadcom HIDClass  (07/28/2009 6.2.0.9800) (Version: 07/28/2009 6.2.0.9800 - Broadcom)
Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (04/19/2012 2.3.1.0) (Version: 04/19/2012 2.3.1.0 - Garmin)

==================== Restore Points  =========================

Could not list Restore Points. Check WMI.


==================== Hosts content: ==========================

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: C:\Windows\Tasks\User_Feed_Synchronization-{CED04B67-25C1-42D5-A176-8E52FEFC339D}.job => C:\Windows\system32\msfeedssync.exe

==================== Loaded Modules (whitelisted) =============


==================== Alternate Data Streams (whitelisted) =========

AlternateDataStreams: C:\ProgramData\TEMP:15B79D44
AlternateDataStreams: C:\Users\Sandra\Downloads\Zeitmanagement2011.exe:BDU

==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Could not list Devices. Check WMI.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/30/2014 00:24:10 PM) (Source: Application Hang) (User: )
Description: Programm FRST64.exe, Version 3.3.10.2 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: c18

Startzeit: 01cf1dac8004648c

Endzeit: 15

Anwendungspfad: F:\FRST64.exe

Berichts-ID:

Error: (01/29/2014 10:31:07 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0x9bc
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:30:37 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0x8ec
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:30:07 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0x15c
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:29:37 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0x57c
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:29:10 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0xdbc
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:29:07 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0xc20
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:28:37 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0xfa8
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:28:07 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0x34c
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3

Error: (01/29/2014 10:27:37 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: svchost.exe_Winmgmt, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc3c1
Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.17514, Zeitstempel: 0x4ce7c78c
Ausnahmecode: 0x0eedfade
Fehleroffset: 0x000000000000a49d
ID des fehlerhaften Prozesses: 0xaec
Startzeit der fehlerhaften Anwendung: 0xsvchost.exe_Winmgmt0
Pfad der fehlerhaften Anwendung: svchost.exe_Winmgmt1
Pfad des fehlerhaften Moduls: svchost.exe_Winmgmt2
Berichtskennung: svchost.exe_Winmgmt3


System errors:
=============
Error: (01/30/2014 00:31:56 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:31:26 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:30:56 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:30:26 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:29:56 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:29:26 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:28:56 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:28:26 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:27:56 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126

Error: (01/30/2014 00:27:26 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet: 
%%126


Microsoft Office Sessions:
=========================

CodeIntegrity Errors:
===================================
  Date: 2013-02-01 14:52:10.096
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00176_027\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-02-01 14:13:49.517
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00176_027\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-02-01 12:40:17.407
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-01-30 20:01:46.876
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-01-29 16:24:21.109
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-01-28 19:38:39.327
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-01-28 17:22:01.307
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-01-28 14:08:31.790
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-01-28 12:29:10.098
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date: 2013-01-28 10:18:32.921
  Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume2\Program Files\Bitdefender\Bitdefender 2013\active virus control\Avc3_00174_026\avcuf64.dll" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info =========================== 

Percentage of memory in use: 26%
Total physical RAM: 3893.86 MB
Available physical RAM: 2845.83 MB
Total Pagefile: 7785.92 MB
Available Pagefile: 6563.97 MB
Total Virtual: 8192 MB
Available Virtual: 8191.82 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:250.01 GB) (Free:204.36 GB) NTFS
Drive d: (Volume) (Fixed) (Total:215.66 GB) (Free:215.53 GB) NTFS
Drive f: (STICK) (Removable) (Total:0.97 GB) (Free:0.97 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 29A7F6BB)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=250 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=216 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 1000 MB) (Disk ID: 91F72D24)
Partition 1: (Active) - (Size=1000 MB) - (Type=0B)

==================== End Of Log ============================
         

Zitat:

Weil ich's hier irgendwo in einer Anleitung so gelesen habe.

Es soll hier aber nicht irgendeine Anleitung umgesetzt werden. FRST aus Recovery Nur wenn Windows nicht mehr normal bootet!

Zitat:

Lexware zeitmanagement 2011 (x32 Version: 2.05.00.0169 - Haufe-Lexware GmbH & Co.KG)
Microsoft Office Professional Plus 2007 (x32 Version: 12.0.4518.1

Ist das ein gewerblich genutztes System?

Außerdem hast du auch Malwarebytes installiert, wo sind die Logs davon?

Zitat:

Zitat von cosinus

Ist das ein gewerblich genutztes System?
Außerdem hast du auch Malwarebytes installiert, wo sind die Logs davon?

Was spielt das für eine Rolle ob es gewerblich genutzt wird? Ich glaube nicht.
Malewarebytes und Rootkit beta bringen keine Fehler oder Probleme.
bye bye

Zitat:

Was spielt das für eine Rolle ob es gewerblich genutzt wird? Ich glaube nicht.

Dir mag es am Hintern vorbeigehen weil du nur dein Problem gefixt haben willst, aber du musst auch unsere Seite verstehen. Deswegen haben wir diese Regeln bei gewerblich genutzten Systemen

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Habe trotzdem nochmal nachgefragt, es ist kein gewerblich genutzter Rechner!
bye Klorix

ok....

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Zitat:

Zitat von Klorix

Malewarebytes und Rootkit beta bringen keine Fehler oder Probleme.
bye bye

Hast bestimmt übersehen. Maleware Bytes, kein LOG - Anti Rootkit, Kategorien leer

Jupp aber trotzdem bitte mal das Log posten, so ein Log zeigt nämlich mehr Infos als nur Fund oder kein Fund

Hier die Anti-Rootkit LOG

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.07.0.1009
www.malwarebytes.org

Database version: v2014.01.30.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sandra :: SANDRA-PC [administrator]

30.01.2014 11:19:51
mbar-log-2014-01-30 (11-19-51).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 214905
Time elapsed: 10 minute(s), 51 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\$Recycle.Bin\S-1-5-21-1008958261-1073960449-979942986-1000\$R43KE3V.dll (Trojan.Agent.ED) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

MBAR hat ja doch was gefunden!

Adware/Junkware/Toolbars entfernen


1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)