hallo leute,

seit einiger zeit habe ich nur nach dem kompletten herunterfahren und neubooten bluescreens mit der meldung: driver_power_state_failure.
nach dem x-ten absturz und rebooten läuft die kiste dann wieder (warum auch immer)
ich kann mir beim besten willen nicht vorstellen, dass ich tatsächlich ein treiberproblem mit ggf dem chipsatz habe?!

wenn ich lediglich in den ruhezustand gehe, habe ich keine probleme

zwischenzeitlich hatte ich zusätzlich zu kaspersky auch mal dem mbam laufen lassen mit 2 nicht sehr weltbewegenden funden (hoffentlich) log anbei

als anhang auch alles, was ich für euch sammeln konnte, damit ihr eine übersicht bekommt.

bitte schaut mal drüber, ob euch etwas auffällt.......außer, daß vista kacke ist

schon jetzt vielen dank für die hilfe,

mt

Hi und

Logs bitte nicht anhängen, notfalls splitten und über mehrere Postings verteilt posten

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

hmm hoffentlich hast du das so gemeint:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=ed8dfaba27bfbf4abf548cd8f669a8fb
# engine=21968
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-01-14 08:52:13
# local_time=2015-01-14 09:52:13 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode_1='Kaspersky Internet Security'
# compatibility_mode=1299 16777213 100 100 12572 48840363 0 0
# compatibility_mode_1=''
# compatibility_mode=5892 16776574 100 100 74561159 258801461 0 0
# scanned=155939
# found=0
# cleaned=0
# scan_time=4757
         

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-01-14 22:13:56
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-2 TOSHIBA_MK5076GSX rev.GS001A 465,76GB
Running: Gmer-19357.exe; Driver: C:\Users\MARKUS~1\AppData\Local\Temp\uftcypog.sys


---- System - GMER 2.1 ----

SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwAdjustPrivilegesToken [0x921D70A0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwAlpcConnectPort [0x921D7020]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwAlpcSendWaitReceivePort [0x921D7030]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwConnectPort [0x921D7050]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwCreateSection [0x921D7000]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwCreateSymbolicLinkObject [0x921D71A0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwCreateThread [0x921D7100]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwDebugActiveProcess [0x921D7140]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwDeviceIoControlFile [0x921D7200]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwDuplicateObject [0x921D7170]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwLoadDriver [0x921D7150]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwMapViewOfSection [0x921D7180]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwOpenProcess [0x921D7080]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwOpenSection [0x921D7070]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwOpenThread [0x921D7090]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwPlugPlayControl [0x921D71B0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwProtectVirtualMemory [0x921D70C0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwQueryIntervalProfile [0x921D7490]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwQueueApcThread [0x921D7120]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwRequestWaitReplyPort [0x921D71F0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwResumeThread [0x921D71C0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSecureConnectPort [0x921D7060]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSetContextThread [0x921D7110]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSetInformationObject [0x921D70B0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSetInformationToken [0x921D7010]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSetSystemInformation [0x921D7160]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSuspendProcess [0x921D71E0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSuspendThread [0x921D71D0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwSystemDebugControl [0x921D7130]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwTerminateProcess [0x921D70D0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwTerminateThread [0x921D70E0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwUnmapViewOfSection [0x921D7190]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwWriteVirtualMemory [0x921D70F0]
SSDT   \SystemRoot\system32\DRIVERS\klhk.sys  ZwCreateThreadEx [0x921D7040]

---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!KeSetEvent + 119          836B2764 4 Bytes  [A0, 70, 1D, 92]
.text  ntkrnlpa.exe!KeSetEvent + 13D          836B2788 4 Bytes  [20, 70, 1D, 92] {AND [EAX+0x1d], DH; XCHG EDX, EAX}
.text  ntkrnlpa.exe!KeSetEvent + 181          836B27CC 4 Bytes  [30, 70, 1D, 92] {XOR [EAX+0x1d], DH; XCHG EDX, EAX}
.text  ntkrnlpa.exe!KeSetEvent + 1C1          836B280C 4 Bytes  [50, 70, 1D, 92] {PUSH EAX; JO 0x20; XCHG EDX, EAX}
.text  ntkrnlpa.exe!KeSetEvent + 215          836B2860 4 Bytes  [00, 70, 1D, 92] {ADD [EAX+0x1d], DH; XCHG EDX, EAX}
.text  ...                                    

---- EOF - GMER 2.1 ----
         

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-01-2015 01
Ran by Markus Thönnes (administrator) on MARKUSTHÖNNE-PC on 14-01-2015 20:29:29
Running from C:\Users\Markus Thönnes\Downloads
Loaded Profiles: Markus Thönnes (Available profiles: Markus Thönnes & Verita)
Platform: Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 9 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(ATI Technologies Inc.) C:\Windows\System32\Ati2evxx.exe
(Microsoft Corporation) C:\Windows\System32\SLsvc.exe
(ATI Technologies Inc.) C:\Windows\System32\Ati2evxx.exe
() C:\Program Files\ATK Hotkey\AsLdrSrv.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(SafeNet, Inc.) C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe
(SafeNet, Inc) C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
(SafeNet, Inc.) C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Security Runtime\sntlsrtsrvr.exe
(Microsoft Corporation) C:\Windows\System32\iashost.exe
(ATK0100) C:\Program Files\ATK Hotkey\HControl.exe
() C:\Program Files\Wireless Console 2\wcourier.exe
() C:\Program Files\ATK Hotkey\ATKOSD.exe
(Motorola Inc.) C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Microsoft Corporation) C:\Windows\ehome\ehtray.exe
(Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe
(Acresso Corporation) C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe
() C:\Program Files\ATK Hotkey\KBFiltr.exe
() C:\Program Files\ATK Hotkey\WDC.exe
(Microsoft Corporation) C:\Windows\ehome\ehmsas.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
(Microsoft Corporation) C:\Windows\System32\taskmgr.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Microsoft Corporation) C:\Program Files\Windows Mail\WinMail.exe
(ESET) C:\Program Files\ESET\ESET Online Scanner\OnlineScannerApp.exe
() C:\Program Files\ESET\ESET Online Scanner\OnlineCmdLineScanner.exe
(Microsoft Corporation) C:\Windows\System32\conime.exe
(Farbar) C:\Users\Markus Thönnes\Downloads\FRST(1).exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [JMB36X IDE Setup] => C:\Windows\RaidTool\xInsIDE.exe [36864 2012-09-01] ()
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 14.01.2015
Suchlauf-Zeit: 19:37:03
Logdatei: malwarebytes log.txt
Administrator: Ja

Version: 2.00.4.1028
Malware Datenbank: v2015.01.14.08
Rootkit Datenbank: v2015.01.07.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows Vista Service Pack 2
CPU: x86
Dateisystem: NTFS
Benutzer: Markus Thönnes

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 393221
Verstrichene Zeit: 21 Min, 54 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente erkannt)

Module: 0
(Keine schädliche Elemente erkannt)

Registrierungsschlüssel: 0
(Keine schädliche Elemente erkannt)

Registrierungswerte: 0
(Keine schädliche Elemente erkannt)

Registrierungsdaten: 0
(Keine schädliche Elemente erkannt)

Ordner: 0
(Keine schädliche Elemente erkannt)

Dateien: 2
PUP.Optional.DigitalSites.A, C:\Windows\Tasks\Digital Sites.job, , [74dc9760395076c0574841b0ef1512ee], 
PUP.Optional.DigitalSites.A, C:\Windows\System32\Tasks\Digital Sites, , [d17faf488ffac175257b15dc1ce8ef11], 

Physische Sektoren: 0
(Keine schädliche Elemente erkannt)


(end)
         

hoffentlich habe ich es jetzt hinbekommen....sorry habe (eigendlich ja zum glück) zu wenig übung

Addition.txt von FRST fehlt

wo finde ich das? automatisch wurde keines erstellt...

ok...hatte das häckchen "addition txt" nicht angeklickt, ich doof das hat aber auch nirgends gestanden....ich schwör´
der scan bleibt bei: listing installed programs....hängen und läuft und läuft...dauert das tatsächlich so viel länger als die txt datei?

Zukünftig bitte beachten:

Zitat:

Running from C:\Users\Markus Thönnes\Downloads

Leider hast du unsere Anleitung nicht richtig befolgt:
Bitte alle Tools direkt auf den Desktop downloaden bzw. dorthin verschieben und vom Desktop starten, da unsere Anleitungen daraufhin ausgelegt sind.
Zudem lassen sich dann am Ende der Bereinigung alle verwendeten Tools sehr einfach entfernen.
Alle Tools bis zum Ende der Bereinigung auf dem Desktop lassen, evtl. benötigen wir manche öfter.


Dann zeig mal frische FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken

ich habe jetzt alle vorhandenen frst dateien gelöscht. (firefox hatte automatisch auf downloads abgespeichert) dann erneut runtergeladen auf den desktop. gestartet wie anleitung incl haken. der scan läuft allerdings ewig auf "listing installed programs". ohne sichtbaren fortschritt... der balken läuft zwar noch, es sieht aber nicht so aus, als würde sich noch was tun?!

läuft leider ewig bei listing installed programs, das schein nicht zu klappen ;(

Reboot tut manchmal gut...starte Windows neu und probier es erneut

habe ich getan...same effect! der balken läuft bei den installierten programmen schon ewig (5minuten)..was mach ich nur falsch?

Dann bitte erstmal Combofix ausführen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

das habe ich nun auf dem desktop gefunden: schein aber nicht viel bzw nicht komplett zu sein

Code: Alles auswählenAufklappen

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 14-01-2015 01
Ran by Markus Thönnes at 2015-01-15 00:03:31
Running from C:\Users\Markus Thönnes\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: Kaspersky Internet Security (Enabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886}
AS: Kaspersky Internet Security (Enabled - Up to date) {ACF8980C-0107-DEC0-3FF3-1313EF89023B}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Kaspersky Internet Security (Enabled) {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)
         

Mach bitte mit CF weiter

ufffff: das hat gedauert werde mal langsam in bettchen gehen:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 15-01-08.01 - Markus Thönnes 15.01.2015   0:28.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3070.2051 [GMT 1:00]
ausgeführt von:: c:\users\Markus Th÷nnes\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {179979E8-273D-D14E-0543-2861940E4886}
FW: Kaspersky Internet Security *Disabled* {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD}
SP: Kaspersky Internet Security *Disabled/Updated* {ACF8980C-0107-DEC0-3FF3-1313EF89023B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2014-12-14 bis 2015-01-14  ))))))))))))))))))))))))))))))
.
.
2015-01-14 18:35 . 2015-01-14 18:35	--------	d-----w-	c:\programdata\Malwarebytes
2015-01-14 17:59 . 2014-12-19 00:25	115200	----a-w-	c:\windows\system32\drivers\mrxdav.sys
2015-01-14 17:58 . 2014-12-06 03:14	48640	----a-w-	c:\windows\system32\nlaapi.dll
2015-01-14 17:58 . 2014-12-06 03:14	174080	----a-w-	c:\windows\system32\nlasvc.dll
2015-01-14 17:58 . 2014-12-06 03:14	93184	----a-w-	c:\windows\system32\ncsi.dll
2015-01-14 17:58 . 2014-12-06 03:14	153600	----a-w-	c:\windows\system32\profsvc.dll
2015-01-14 09:52 . 2015-01-14 09:52	73840	----a-w-	c:\program files\Mozilla Firefox\wow_helper.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-12-11 20:34 . 2014-11-12 15:01	701616	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2014-12-11 20:34 . 2014-11-12 15:01	71344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2014-12-03 02:06 . 2014-12-10 09:10	278528	----a-w-	c:\windows\system32\schannel.dll
2014-11-24 20:44 . 2014-12-10 09:06	367104	----a-w-	c:\windows\system32\html.iec
2014-11-24 20:40 . 2014-12-10 09:06	1810944	----a-w-	c:\windows\system32\jscript9.dll
2014-11-24 20:35 . 2014-12-10 09:06	1129472	----a-w-	c:\windows\system32\wininet.dll
2014-11-24 20:34 . 2014-12-10 09:06	1427968	----a-w-	c:\windows\system32\inetcpl.cpl
2014-11-24 20:33 . 2014-12-10 09:06	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2014-11-24 20:33 . 2014-12-10 09:06	421376	----a-w-	c:\windows\system32\vbscript.dll
2014-11-24 20:32 . 2014-12-10 09:06	11776	----a-w-	c:\windows\system32\mshta.exe
2014-11-24 20:32 . 2014-12-10 09:06	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2014-11-22 12:25 . 2014-08-18 13:43	119816	----a-w-	c:\windows\system32\drivers\klflt.sys
2014-11-07 01:33 . 2014-12-10 09:20	974848	----a-w-	c:\windows\system32\WindowsCodecs.dll
2014-11-04 00:19 . 2014-12-10 09:20	2048	----a-w-	c:\windows\system32\tzres.dll
2014-10-24 01:04 . 2014-11-12 02:03	67072	----a-w-	c:\windows\system32\packager.dll
2014-10-24 01:03 . 2014-11-19 13:47	499200	----a-w-	c:\windows\system32\kerberos.dll
2014-10-20 05:50 . 2014-10-20 05:51	96680	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2014-10-18 01:08 . 2014-11-12 02:01	564224	----a-w-	c:\windows\system32\oleaut32.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"ISUSPM"="c:\programdata\FLEXnet\Connect\11\ISUSPM.exe" [2009-03-14 222496]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2012-09-01 36864]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-26 1458176]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-11-20 1021128]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2014-09-26 271744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2014-10-01 22065760]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableSecureUIAPath"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^KPSInfo.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\KPSInfo.lnk
backup=c:\windows\pss\KPSInfo.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Markus Thönnes^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.4.1.lnk]
path=c:\users\Markus Thönnes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.4.1.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Verita^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.4.1.lnk]
path=c:\users\Verita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.4.1.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2014-10-11 11:05	60712	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Deskjet 3070 B611 series (NET)]
2011-03-30 16:46	1721192	----a-w-	c:\program files\HP\HP Deskjet 3070 B611 series\Bin\ScanToPCActivationApp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2011-01-12 10:21	49208	----a-w-	c:\program files\HP\HP Software Update\hpwuschd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
2009-03-14 10:26	222496	----a-w-	c:\programdata\FLEXnet\Connect\11\ISUSPM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2014-10-15 03:42	157480	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nikon Message Center 2]
2010-05-25 18:16	619008	----a-w-	c:\program files\Nikon\Nikon Message Center 2\NkMC2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2014-10-02 13:23	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2014-10-01 09:43	22065760	----a-r-	c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3262441429-3199466306-1688115033-1000]
"EnableNotificationsRef"=dword:00000002
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3262441429-3199466306-1688115033-1003]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to iPhone Converter - c:\users\Markus Thönnes\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetoiphoneconverter.htm
IE: {{09A10376-994C-4BBF-9121-F50CF7BA237E} - {F2A56BFE-7911-451A-BC74-A9C3C2E95126} - c:\program files\Kaspersky Lab\Kaspersky Internet Security 15.0.1\IEExt\ie_plugin.dll
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Markus Thönnes\AppData\Roaming\Mozilla\Firefox\Profiles\02xutz2s.default\
FF - prefs.js: browser.startup.homepage - www.weinheimerkuechen.de
FF - user.js: plugin.state.npcontentblocker - 2
FF - user.js: plugin.state.nponlinebanking - 2
FF - user.js: plugin.state.npvkplugin - 2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-AllShareAgent - c:\program files\Samsung\AllShare\AllShareAgent.exe
HKLM_ActiveSetup-{8A69D345-D564-463c-AFF1-A69D9E530F96} - c:\program files\Google\Chrome\Application\39.0.2171.65\Installer\chrmstp.exe
AddRemove-Google Chrome - c:\program files\Google\Chrome\Application\39.0.2171.65\Installer\setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2015-01-15 00:51
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3262441429-3199466306-1688115033-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*P*e*r*p*l*e*x*i*t*y*"!\OpenWithList]
@Class="Shell"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_15_0_0_223_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_15_0_0_223_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Zeit der Fertigstellung: 2015-01-15  00:54:08
ComboFix-quarantined-files.txt  2015-01-14 23:54
.
Vor Suchlauf: 15 Verzeichnis(se), 108.205.973.504 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 108.158.574.592 Bytes frei
.
- - End Of File - - 485B3B5216BD56DBD8AD519FCBAD6B98
5C616939100B85E558DA92B899A0FC36
         

Adware/Junkware/Toolbars entfernen

(alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!)

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

echt schwierig...andauernd diese sch... bluescreens ;(
werde den verdacht nicht los, dass windoof updates da auch eine rolle spielen. dea aktuelle kb2901983 funzt überhaupt nicht und bricht ab/oder ich muss es abbrechen.

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v4.107 - Bericht erstellt am 15/01/2015 um 17:09:46
# Aktualisiert 07/01/2015 von Xplode
# Database : 2015-01-13.2 [Live]
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzername : Markus Thönnes - MARKUSTHÖNNE-PC
# Gestartet von : C:\Users\Markus Thönnes\Desktop\AdwCleaner_4.107.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Users\Markus Thönnes\AppData\Local\CrashRpt
Datei Gelöscht : C:\Users\Markus Thönnes\AppData\Roaming\Mozilla\Firefox\Profiles\02xutz2s.default\user.js

***** [ Tasks ] *****

Task Gelöscht : Digital Sites

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKCU\Software\Free Video Converter
Schlüssel Gelöscht : HKCU\Software\OCS

***** [ Browser ] *****

-\\ Internet Explorer v9.0.8112.16599


-\\ Mozilla Firefox v34.0 (x86 de)


*************************

AdwCleaner[R0].txt - [359 octets] - [15/01/2015 16:38:38]
AdwCleaner[R1].txt - [424 octets] - [15/01/2015 16:44:40]
AdwCleaner[R2].txt - [1232 octets] - [15/01/2015 17:06:56]
AdwCleaner[S0].txt - [1153 octets] - [15/01/2015 17:09:46]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1213 octets] ##########
         

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Windows Vista (TM) Home Premium x86
Ran by Markus Th”nnes on 15.01.2015 at 17:19:29,12
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 15.01.2015 at 17:25:39,45
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

zur info:
habe heute eine sytemwiederherstellung 09.12.14 durchgeführt und die updates ganz laaaaaaaaaaaaaaaaaangsam und geduldig (eines davon dauerte 30minuten!!) wieder installiert. das eine kb 2901983 funzt wie gesagt nicht.
nach alledem trotzdem bluescreens! momentan schein es etwas stbiler zu laufen. ich habe die automatischen updates deaktiviert. offensichtlich habe ich deshalb, gerade nach einem reboot, etwas mehr ruhe....werde heute abend mal die daten sichern (soweit möglich)

tja...wollte die daten auf ext. FP sichern...rechner erkennt die ext fp nicht mehr, wird nicht angezeigt. gerätemanager: für dieses gerät sind keine treiber installiert/habe versucht, das gerät zu deinstallieren/deaktivieren und nach neustart auf eine wiedererkennung zu hoffen, aber schon bei der deinstallation hänge ich in der endlosschleife ;(