'BOO/TDss.A' auf Rechner und externer Festplatte

kakadu89 · 21.01.2015, 03:51

Liebe Trojaner-Foristen,

ich hoffe ihr könnt mir bei meinem Problem helfen.

Da ich nicht weiß, welche Informationen für euch wichtig sind, schreibe ich mal die ganze Situation im Detail auf:

Zu Besuch bei meinen Eltern bin ich dabei, die alten PCs wieder flott zu machen.
Zum einen gibt es da meinen eigenen "Jugend-Rechner". Hier ist die Hardware kaputt (bootet gar nicht erst, keine Reaktion). Um die Daten noch zu sichern habe ich die Festplatte in den alten PC meiner Eltern eingebaut (läuft, aber sehr langsam; zugemüllt). Ich hatte also einen Rechner mit zwei total vermüllten Festplatten und teilweise jahrzehntealten Dateien (zuletzt eingeschaltet ca. 2009 bzw. 2013).
Der Plan war nun, den Computer neu aufzusetzen und Windows 7 zu installieren. Davor wollte ich aber noch einige Daten von der gerade eingebauten Festplatte meines alten PCs sichern.

Hier machte mir aber der vermüllte Rechner einen Strich durch die Rechnung, der mich im Nachhinein gerettet haben könnte: Beim Übertragen der Daten auf eine externe Festplatte fror der Rechner ein, nach einigem Warten zog ich die Externe dann einfach raus. Anscheinend wurde sie dadurch beschädigt. Als ich sie nämlich von Avira auf Viren überprüfen lassen wollte und sie am neuen, funktionstüchtigen PC meiner Eltern ansteckte, wurde mir gemeldet: "Sie müssen den Datenträger erst formatieren, bevor sie ihn verwenden" - eine Fehlermeldung, die anscheinend auftritt, wenn die Festplatte einfach abgezogen wird.
Ich konnte also auf die Externe nicht zugreifen und formatierte sie neu, da sich ohnehin Avira schon gemeldet hatte. Allerdings meldete Avira auch nach der Formatierung: "A virus or unwanted program 'BOO/TDss.A' was found in 'Master boot sector of drive F"! (Auf der frisch formatierten Festplatte ist komischerweise auch schon ca. 1 MB belegt).

Meine Probleme:

1. muss ich sicherstellen, dass der neue PC meiner Eltern nicht gefährdet ist.
Die "befallene" Externe wurde zwar angeschlossen. Allerdings konnte ich nicht darauf zugreifen. Kann der Trojaner dann überhaupt übertragen werden?

Avira meldet nach dem Anmelden von sich aus keine Probleme.
Nach dem Anschließen der Externen meldet es: "A virus or unwanted program 'BOO/TDss.A' was found in 'Master boot sector of drive F" (F: = Externe)
Direkt nach dem Entfernen der Festplatte bringt Avira diese Fehlermeldung: "A virus or unwanted program 'BOO/TDss.A' was found in 'Master boot sector of drive Master boot sector HD2"
Danach meldet sich Avira wieder nicht mehr.

Wie kann ich hier sichergehen, dass nur die Externe und nicht der PC befallen ist?

* Habe Avira bei ausgesteckter externer Festplatte scannen lassen, der Report steht weiter unten.

2. möchte ich die Externe wieder fit machen. Normales Fragmentieren reicht hier offensichtlich nicht aus. Wie kann ich hier der ganzen Festplatte und damit auch dem bescheuerten BOO/TDss.A die Lichter ausmachen?

3. möchte ich den alten PC, der ja offensichtlich den "BOO/TDss.A" drauf hat, neu aufsetzen. Ein Boot-USB für Windows 7 liegt bereit, aber wie sich bei der Externen gezeigt hat, reicht einfaches fragmentieren wohl nicht immer aus. Was kann ich machen?

Wie kann ich außerdem Daten vom befallenen PC noch sichern, ohne den Trojaner mitzunehmen? Es handelt sich um Fotos, Videos, Audios, WOrd und PDF.

Hoffe, mir kann jemand helfen. Danke schonmal.

*Hier noch der Avira-Report:

Avira Free Antivirus
Report file date: Mittwoch, 21. Januar 2015 02:26

The program is running as an unrestricted full version.
Online services are available.

Licensee : Avira Antivirus Free
Serial number : 0000149996-AVHOE-0000001
Platform : Windows 7 Professional
Windows version : (Service Pack 1) [6.1.7601]
Boot mode : Normally booted
Username : *****
Computer name : *****

Version information:
BUILD.DAT : 14.0.7.468 91859 Bytes 24.11.2014 10:23:00
AVSCAN.EXE : 14.0.7.462 1015544 Bytes 16.12.2014 13:36:22
AVSCANRC.DLL : 14.0.7.308 54576 Bytes 13.11.2014 08:17:09
LUKE.DLL : 14.0.7.462 60664 Bytes 16.12.2014 13:36:34
AVSCPLR.DLL : 14.0.7.440 93488 Bytes 16.12.2014 13:36:22
REPAIR.DLL : 14.0.7.412 366328 Bytes 16.12.2014 13:36:21
REPAIR.RDF : 1.0.3.96 673574 Bytes 19.01.2015 21:55:04
AVREG.DLL : 14.0.7.310 264952 Bytes 13.11.2014 08:17:07
AVLODE.DLL : 14.0.7.440 561456 Bytes 16.12.2014 13:36:20
AVLODE.RDF : 14.0.4.54 78895 Bytes 06.12.2014 09:12:30
XBV00014.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00015.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00016.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00017.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00018.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00019.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00020.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00021.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00022.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00023.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00024.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00025.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00026.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00027.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00028.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00029.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00030.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00031.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00032.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00033.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00034.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00035.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00036.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00037.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00038.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00039.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00040.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00041.VDF : 8.11.165.190 2048 Bytes 07.08.2014 10:44:30
XBV00099.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00100.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00101.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00102.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00103.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00104.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00105.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00106.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00107.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:54
XBV00108.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00109.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00110.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00111.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00112.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00113.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00114.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00115.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00116.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00117.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00118.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00119.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00120.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00121.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00122.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00123.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00124.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00125.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00126.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00127.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00128.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00129.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00130.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00131.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00132.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00133.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00134.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00135.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00136.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00137.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00138.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00139.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00140.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00141.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00142.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00143.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00144.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00145.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00146.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:55
XBV00147.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00148.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00149.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00150.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00151.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00152.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00153.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00154.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00155.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00156.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00157.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00158.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00159.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00160.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00161.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00162.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00163.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00164.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00165.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00166.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00167.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00168.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00169.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00170.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00171.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00172.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00173.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00174.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:56
XBV00175.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00176.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00177.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00178.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00179.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00180.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00181.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00182.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00183.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00184.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00185.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00186.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00187.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00188.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00189.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00190.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00191.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:57
XBV00192.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:58
XBV00193.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00194.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00195.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00196.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00197.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00198.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00199.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00200.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00201.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00202.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00203.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00204.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00205.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00206.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00207.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00208.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:48:59
XBV00209.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00210.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00211.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00212.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00213.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00214.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00215.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00216.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00217.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00218.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00219.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00220.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00221.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00222.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00223.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00224.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00225.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00226.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00227.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00228.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00229.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00230.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00231.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:00
XBV00232.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00233.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00234.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00235.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00236.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00237.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00238.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00239.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00240.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00241.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00242.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00243.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00244.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00245.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00246.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00247.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00248.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00249.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00250.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00251.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00252.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00253.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00254.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00255.VDF : 8.11.201.28 2048 Bytes 14.01.2015 19:49:01
XBV00000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 10:44:30
XBV00001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 10:44:30
XBV00002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 10:44:30
XBV00003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 10:44:30
XBV00004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 10:44:30
XBV00005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 10:44:30
XBV00006.VDF : 7.11.139.38 15708672 Bytes 27.03.2014 10:44:30
XBV00007.VDF : 7.11.152.100 4193792 Bytes 02.06.2014 10:44:30
XBV00008.VDF : 8.11.165.192 4251136 Bytes 07.08.2014 10:44:30
XBV00009.VDF : 8.11.172.30 2094080 Bytes 15.09.2014 10:44:30
XBV00010.VDF : 8.11.178.32 1581056 Bytes 14.10.2014 12:12:43
XBV00011.VDF : 8.11.184.50 2178560 Bytes 11.11.2014 14:24:05
XBV00012.VDF : 8.11.190.32 1876992 Bytes 03.12.2014 23:47:25
XBV00013.VDF : 8.11.201.28 2973696 Bytes 14.01.2015 19:48:52
XBV00042.VDF : 8.11.201.52 20992 Bytes 14.01.2015 19:48:52
XBV00043.VDF : 8.11.201.74 2048 Bytes 14.01.2015 19:48:52
XBV00044.VDF : 8.11.201.100 13824 Bytes 14.01.2015 08:48:31
XBV00045.VDF : 8.11.201.124 4608 Bytes 14.01.2015 08:48:31
XBV00046.VDF : 8.11.201.126 8704 Bytes 15.01.2015 08:48:31
XBV00047.VDF : 8.11.201.128 2048 Bytes 15.01.2015 08:48:31
XBV00048.VDF : 8.11.201.132 13824 Bytes 15.01.2015 08:48:31
XBV00049.VDF : 8.11.201.134 9216 Bytes 15.01.2015 19:31:38
XBV00050.VDF : 8.11.201.136 26112 Bytes 15.01.2015 19:31:38
XBV00051.VDF : 8.11.201.138 2048 Bytes 15.01.2015 19:31:38
XBV00052.VDF : 8.11.201.142 40960 Bytes 15.01.2015 07:30:50
XBV00053.VDF : 8.11.201.144 5120 Bytes 15.01.2015 07:30:50
XBV00054.VDF : 8.11.201.148 20992 Bytes 16.01.2015 07:30:50
XBV00055.VDF : 8.11.201.150 8192 Bytes 16.01.2015 15:38:26
XBV00056.VDF : 8.11.201.152 9728 Bytes 16.01.2015 15:38:26
XBV00057.VDF : 8.11.201.154 12288 Bytes 16.01.2015 15:38:26
XBV00058.VDF : 8.11.201.176 50176 Bytes 16.01.2015 09:58:21
XBV00059.VDF : 8.11.201.196 2048 Bytes 16.01.2015 09:58:21
XBV00060.VDF : 8.11.201.216 2048 Bytes 16.01.2015 09:58:21
XBV00061.VDF : 8.11.201.236 27648 Bytes 16.01.2015 09:58:22
XBV00062.VDF : 8.11.201.238 2048 Bytes 16.01.2015 09:58:22
XBV00063.VDF : 8.11.202.4 13312 Bytes 16.01.2015 09:58:22
XBV00064.VDF : 8.11.202.6 2048 Bytes 16.01.2015 09:58:22
XBV00065.VDF : 8.11.202.26 3584 Bytes 16.01.2015 09:58:22
XBV00066.VDF : 8.11.202.28 3584 Bytes 17.01.2015 09:58:22
XBV00067.VDF : 8.11.202.32 53760 Bytes 17.01.2015 09:58:22
XBV00068.VDF : 8.11.202.34 16896 Bytes 17.01.2015 17:18:27
XBV00069.VDF : 8.11.202.36 2048 Bytes 17.01.2015 17:18:27
XBV00070.VDF : 8.11.202.56 14336 Bytes 17.01.2015 17:18:27
XBV00071.VDF : 8.11.202.76 124416 Bytes 18.01.2015 17:41:11
XBV00072.VDF : 8.11.202.78 2048 Bytes 18.01.2015 17:41:11
XBV00073.VDF : 8.11.202.98 30720 Bytes 18.01.2015 17:41:11
XBV00074.VDF : 8.11.202.118 27648 Bytes 18.01.2015 17:41:12
XBV00075.VDF : 8.11.202.136 94720 Bytes 19.01.2015 21:55:03
XBV00076.VDF : 8.11.202.170 2048 Bytes 19.01.2015 21:55:03
XBV00077.VDF : 8.11.202.188 19968 Bytes 19.01.2015 21:55:03
XBV00078.VDF : 8.11.202.206 2048 Bytes 19.01.2015 21:55:03
XBV00079.VDF : 8.11.202.224 27136 Bytes 19.01.2015 21:55:03
XBV00080.VDF : 8.11.202.226 17408 Bytes 19.01.2015 21:55:03
XBV00081.VDF : 8.11.202.238 38400 Bytes 19.01.2015 21:55:03
XBV00082.VDF : 8.11.203.0 56832 Bytes 19.01.2015 21:55:03
XBV00083.VDF : 8.11.203.20 28672 Bytes 19.01.2015 07:10:40
XBV00084.VDF : 8.11.203.36 12800 Bytes 19.01.2015 07:10:40
XBV00085.VDF : 8.11.203.54 57856 Bytes 20.01.2015 07:10:40
XBV00086.VDF : 8.11.203.58 2048 Bytes 20.01.2015 07:10:40
XBV00087.VDF : 8.11.203.74 22016 Bytes 20.01.2015 13:10:35
XBV00088.VDF : 8.11.203.90 11776 Bytes 20.01.2015 13:10:35
XBV00089.VDF : 8.11.203.106 10240 Bytes 20.01.2015 13:10:35
XBV00090.VDF : 8.11.203.122 7680 Bytes 20.01.2015 13:10:35
XBV00091.VDF : 8.11.203.138 13312 Bytes 20.01.2015 13:10:35
XBV00092.VDF : 8.11.203.142 61952 Bytes 20.01.2015 19:10:42
XBV00093.VDF : 8.11.203.144 2048 Bytes 20.01.2015 19:10:42
XBV00094.VDF : 8.11.203.148 39424 Bytes 20.01.2015 01:14:54
XBV00095.VDF : 8.11.203.152 2048 Bytes 20.01.2015 01:14:54
XBV00096.VDF : 8.11.203.156 2048 Bytes 20.01.2015 01:14:54
XBV00097.VDF : 8.11.203.158 18944 Bytes 20.01.2015 01:14:54
XBV00098.VDF : 8.11.203.160 13824 Bytes 21.01.2015 01:14:54
LOCAL000.VDF : 8.11.203.160 119639040 Bytes 21.01.2015 01:15:12
Engine version : 8.3.28.10
AEVDF.DLL : 8.3.1.6 133992 Bytes 24.09.2014 10:44:20
AESCRIPT.DLL : 8.2.2.44 547696 Bytes 16.01.2015 15:38:26
AESCN.DLL : 8.3.2.2 139456 Bytes 24.09.2014 10:44:20
AESBX.DLL : 8.2.20.24 1409224 Bytes 24.09.2014 10:44:20
AERDL.DLL : 8.2.1.16 743328 Bytes 30.10.2014 13:45:34
AEPACK.DLL : 8.4.0.58 789360 Bytes 16.01.2015 15:38:25
AEOFFICE.DLL : 8.3.1.10 351088 Bytes 16.01.2015 15:38:25
AEMOBILE.DLL : 8.1.2.0 277360 Bytes 16.12.2014 19:35:56
AEHEUR.DLL : 8.1.4.1484 8006512 Bytes 16.01.2015 15:38:25
AEHELP.DLL : 8.3.1.0 278728 Bytes 24.09.2014 10:44:20
AEGEN.DLL : 8.1.7.40 456608 Bytes 19.12.2014 12:03:11
AEEXP.DLL : 8.4.2.48 252776 Bytes 26.11.2014 09:12:27
AEEMU.DLL : 8.1.3.4 399264 Bytes 24.09.2014 10:44:20
AEDROID.DLL : 8.4.3.6 850800 Bytes 16.12.2014 19:35:56
AECORE.DLL : 8.3.4.0 243624 Bytes 16.12.2014 19:35:55
AEBB.DLL : 8.1.2.0 60448 Bytes 24.09.2014 10:44:20
AVWINLL.DLL : 14.0.7.308 25904 Bytes 13.11.2014 08:17:04
AVPREF.DLL : 14.0.7.308 52016 Bytes 13.11.2014 08:17:07
AVREP.DLL : 14.0.7.308 220976 Bytes 13.11.2014 08:17:08
AVARKT.DLL : 14.0.7.308 227632 Bytes 13.11.2014 08:17:05
AVEVTLOG.DLL : 14.0.7.440 184112 Bytes 16.12.2014 13:36:20
SQLITE3.DLL : 14.0.7.308 453936 Bytes 13.11.2014 08:17:27
AVSMTP.DLL : 14.0.7.308 79096 Bytes 13.11.2014 08:17:10
NETNT.DLL : 14.0.7.308 15152 Bytes 13.11.2014 08:17:24
RCIMAGE.DLL : 14.0.7.308 4866808 Bytes 13.11.2014 08:17:04
RCTEXT.DLL : 14.0.7.318 75568 Bytes 13.11.2014 08:17:04

Configuration settings for the scan:
Jobname.............................: Local Drives
Configuration file..................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldrives.avp
Reporting...........................: default
Primary action......................: Interactive
Secondary action....................: Ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, E:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: off
Integrity checking of system files..: off
Scan all files......................: Intelligent file selection
Scan archives.......................: on
Limit recursion depth...............: 20
Smart extensions....................: on
Macrovirus heuristic................: on
File heuristic......................: extended

Start of the scan: Mittwoch, 21. Januar 2015 02:26

Start scanning boot sectors:
Boot sector 'HDD0(C

'
[INFO] No virus was found!
Boot sector 'HDD1(E

'
[INFO] No virus was found!

The scan of running processes will be started:
Scan process 'svchost.exe' - '52' Module(s) have been scanned
Scan process 'svchost.exe' - '34' Module(s) have been scanned
Scan process 'atiesrxx.exe' - '26' Module(s) have been scanned
Scan process 'svchost.exe' - '89' Module(s) have been scanned
Scan process 'svchost.exe' - '112' Module(s) have been scanned
Scan process 'svchost.exe' - '79' Module(s) have been scanned
Scan process 'svchost.exe' - '141' Module(s) have been scanned
Scan process 'svchost.exe' - '71' Module(s) have been scanned
Scan process 'atieclxx.exe' - '30' Module(s) have been scanned
Scan process 'spoolsv.exe' - '77' Module(s) have been scanned
Scan process 'sched.exe' - '63' Module(s) have been scanned
Scan process 'taskhost.exe' - '57' Module(s) have been scanned
Scan process 'svchost.exe' - '62' Module(s) have been scanned
Scan process 'Dwm.exe' - '31' Module(s) have been scanned
Scan process 'Explorer.EXE' - '163' Module(s) have been scanned
Scan process 'armsvc.exe' - '28' Module(s) have been scanned
Scan process 'avguard.exe' - '140' Module(s) have been scanned
Scan process 'svchost.exe' - '42' Module(s) have been scanned
Scan process 'Avira.OE.ServiceHost.exe' - '129' Module(s) have been scanned
Scan process 'GoogleUpdate.exe' - '57' Module(s) have been scanned
Scan process 'taskeng.exe' - '30' Module(s) have been scanned
Scan process 'winzipdu.exe' - '109' Module(s) have been scanned
Scan process 'jusched.exe' - '36' Module(s) have been scanned
Scan process 'avgnt.exe' - '123' Module(s) have been scanned
Scan process 'Avira.OE.Systray.exe' - '135' Module(s) have been scanned
Scan process 'avshadow.exe' - '20' Module(s) have been scanned
Scan process 'SearchIndexer.exe' - '55' Module(s) have been scanned
Scan process 'WUDFHost.exe' - '34' Module(s) have been scanned
Scan process 'wmpnetwk.exe' - '116' Module(s) have been scanned
Scan process 'svchost.exe' - '60' Module(s) have been scanned
Scan process 'svchost.exe' - '59' Module(s) have been scanned
Scan process 'firefox.exe' - '129' Module(s) have been scanned
Scan process 'taskeng.exe' - '30' Module(s) have been scanned
Scan process 'avcenter.exe' - '144' Module(s) have been scanned
Scan process 'avscan.exe' - '114' Module(s) have been scanned
Scan process 'smss.exe' - '2' Module(s) have been scanned
Scan process 'csrss.exe' - '16' Module(s) have been scanned
Scan process 'wininit.exe' - '26' Module(s) have been scanned
Scan process 'csrss.exe' - '16' Module(s) have been scanned
Scan process 'services.exe' - '33' Module(s) have been scanned
Scan process 'lsass.exe' - '69' Module(s) have been scanned
Scan process 'lsm.exe' - '16' Module(s) have been scanned
Scan process 'winlogon.exe' - '31' Module(s) have been scanned

Starting to scan executable files (registry):
The registry was scanned ( '1199' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\Users\*****\AppData\Local\Temp\is45637729\1890105_stp\Generic_vo.exe
[DETECTION] Contains virus patterns of Adware ADWARE/VOPack.175521
C:\Users\*****\AppData\Local\Temp\is45637729\1894521_stp\Generic_vo.exe
[DETECTION] Contains virus patterns of Adware ADWARE/VOPack.174809
Begin scan in 'E:\'
Search path E:\ could not be opened!
System error [21]: Das Gerät ist nicht bereit.
Begin scan in 'D:\'
Search path D:\ could not be opened!
System error [21]: Das Gerät ist nicht bereit.

Beginning disinfection:
C:\Users\*****\AppData\Local\Temp\is45637729\1894521_stp\Generic_vo.exe
[DETECTION] Contains virus patterns of Adware ADWARE/VOPack.174809
[NOTE] The file was moved to the quarantine directory under the name '50fcb12e.qua'!
C:\Users\*****\AppData\Local\Temp\is45637729\1890105_stp\Generic_vo.exe
[DETECTION] Contains virus patterns of Adware ADWARE/VOPack.175521
[NOTE] The file was moved to the quarantine directory under the name '486b9e89.qua'!

End of the scan: Mittwoch, 21. Januar 2015 03:34
Used time: 1:06:08 Hour(s)

The scan has been done completely.

25407 Scanned directories
373333 Files were scanned
2 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 Files were deleted
0 Viruses and unwanted programs were repaired
2 Files were moved to quarantine
0 Files were renamed
0 Files cannot be scanned
373331 Files not concerned
7151 Archives were scanned
0 Warnings
2 Notes

Warlord711 · 21.01.2015, 09:41

Hallo kakadu89

Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.

Bitte arbeite alle Schritte der Reihe nach ab.
Hier findest du die Anleitung für Hilfesuchende
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg.

Wir arbeiten hier alle freiwillig und meist auch nur in unserer Freizeit. Daher kann es bei Antworten zu Verzögerungen kommen.
Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist.

Führe sämtliche Tools mit administrativen Rechten aus, Vista, Win7,Win8 User mit Rechtsklick "als Administrator starten".

Falls die betroffene externe Festplatte mit MBR Infektion noch als externe Platte angeschlossen ist, kannst du http://hddguru.com/software/HDD-LLF-...DDLLF.4.40.exe nutzen. Wähl beim Start die "CONTINUE FOR FREE" Option.

ABER VORSICHT !

Das Tool ist dazu da, einen Low Level Format durchzuführen, danach sind die Daten weg, also achte darauf, die richtige Festplatte auszuwählen.

Wähl die richtige Festplatte aus, drück "Continue".
Wähl Low-Level Format aus, hier hast du die Möglichkeit für einen Quick-Wipe, das löscht nur die Partitionstabelle und den MBR. Vorteil ist, das es schneller geht als das komplette Formatieren.

Also entscheide dich zwischen gründlich löschen oder quick wipe und dann auf FORMAT THIS DEVICE.

Wenn das durch ist, lass noch zur Sicherheit aswMBR laufen:

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

kakadu89 · 27.01.2015, 18:23

Lieber Timo,

danke für die schnelle Antwort!

Bin erst heute wieder zum Weitermachen gekommen und habe die Schritte befolgt:

- Auf der Externen habe ich wie beschrieben eine Low-Level-Formatierung durchgeführt. Hat alles soweit geklappt, sie wird jetzt allerdings nicht mehr erkannt! Wie kann ich das wieder ändern?

(Screenshots von der Datenträgerverwaltung:

)

- Außerdem habe ich aswMBR laufen lassen, die .txt habe ich unten angehängt.

Was ich jetzt noch tun möchte:

- Einige Daten vom alten (mit "BOO/TDss.A" befallenen) PC sichern. Beim ersten Mal habe ich einfach größere Ordner in den Eigenen Dateien auf einmal rübergezogen - jetzt würde ich die Bilder, Videos, Words und PDFs einzeln rüberziehen um keine dubiosen Dateien mitzunehmen.

- Auf den alten befallenen PC Windows 7 draufspielen. Reicht hier das normale Neu-Aufsetzen mit dem Löschen aller Daten, oder muss ich wie bei der Externen so Low-Level-Formatierungen machen?

Danke für deine Mühe!

* aswMBR.txt:

aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2015-01-27 16:21:15
-----------------------------
16:21:15.028 OS Version: Windows x64 6.1.7601 Service Pack 1
16:21:15.028 Number of processors: 2 586 0x6B02
16:21:15.029 ComputerName: ***** UserName:
16:21:16.552 Initialize success
16:21:16.663 VM: initialized successfully
16:21:16.664 VM: Amd CPU virtualization not supported
16:28:22.506 AVAST engine defs: 15012700
17:22:27.714 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
17:22:27.719 Disk 0 Vendor: WDC_WD1600AAJS-60B4A0 02.03A02 Size: 152627MB BusType: 3
17:22:27.836 Disk 0 MBR read successfully
17:22:27.845 Disk 0 MBR scan
17:22:27.870 Disk 0 Windows 7 default MBR code
17:22:27.885 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
17:22:27.890 Disk 0 default boot code
17:22:27.909 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152525 MB offset 206848
17:22:27.943 Disk 0 scanning C:\Windows\system32\drivers
17:22:42.189 Service scanning
17:23:06.120 Modules scanning
17:23:06.480 Disk 0 trace - called modules:
17:23:06.499 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
17:23:06.505 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80045de060]
17:23:06.511 3 CLASSPNP.SYS[fffff88000dce43f] -> nt!IofCallDriver -> [0xfffffa800409f520]
17:23:06.517 5 ACPI.sys[fffff88000e0b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80040a1060]
17:23:07.346 AVAST engine scan C:\Windows
17:23:09.163 AVAST engine scan C:\Windows\system32
17:28:47.896 AVAST engine scan C:\Windows\system32\drivers
17:29:02.416 AVAST engine scan C:\Users\*****
17:39:07.512 File: C:\Users\*****\AppData\Local\Temp\is45637729\108715_stp\Generic_vo.exe **INFECTED** Win32

ropper-gen [Drp]
17:39:08.166 File: C:\Users\*****\AppData\Local\Temp\is45637729\1869860_stp\Generic_vo.exe **INFECTED** Win32

ropper-gen [Drp]
17:41:14.608 AVAST engine scan C:\ProgramData
17:43:05.106 Disk 0 statistics 3686136/0/0 @ 2,54 MB/s
17:43:05.114 Scan finished successfully
17:45:13.891 Disk 0 MBR has been saved successfully to "C:\Users\*****\Desktop\MBR.dat"
17:45:13.897 The log file has been saved successfully to "C:\Users\*****\Desktop\aswMBR.txt"

Warlord711 · 27.01.2015, 18:32

Zitat:

17:39:07.512 File: C:\Users\*****\AppData\Local\Temp\is45637729\108715_stp\Generic_vo.exe **INFECTED** Win32ropper-gen [Drp]
17:39:08.166 File: C:\Users\*****\AppData\Local\Temp\is45637729\1869860_stp\Generic_vo.exe **INFECTED** Win32ropper-gen [Drp]

Der Rechner zeigt definitiv Malware an. Das ist der Rechner der Eltern ? Der soll nicht neu aufgesetzt werden, richtig ?

Den sollten wir erstmal clean machen.

Dann starte dort bitte :

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Warlord711 · 27.01.2015, 18:35

Deine externe Platte sieht erstmal nicht gesund aus.

Hat die nen extra Netzteil oder Stromversorgung per USB ?

kakadu89 · 27.01.2015, 19:10

Das ging ja schnell! ;-)

Hier die FRST.txt:

FRST Logfile:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-01-2015 01
Ran by ***** (administrator) on ***** on 27-01-2015 18:53:09
Running from C:\Users\*****\Desktop\reparieren alter pc
Loaded Profiles: ***** (Available profiles: *****)
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(AMD) C:\Windows\System32\atiesrxx.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(WinZip Computing, S.L. (WinZip Computing)) C:\Program Files (x86)\WinZip Driver Updater\winzipdu.exe
(Google Inc.) C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe
(Sun Microsystems, Inc.) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_16_0_0_296.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_16_0_0_296.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254696 2011-04-08] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [702768 2014-12-16] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [Avira Systray] => C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe [126200 2014-11-20] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\...\Run: [Google Update] => C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2014-04-28] (Google Inc.)
HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\...\MountPoints2: {feaac65c-a097-11e4-be07-00218532d552} - F:\HTC_Sync_Manager_PC.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-4236299763-1223815081-2659911176-1000 -> {63439FB3-34F4-4131-810D-AB4D9D60F17C} URL = https://www.google.com/search?q={searchTerms}
BHO: EuxttraShhoPPpEro -> {800481c9-8738-4a8f-8628-0567a44adea3} -> C:\ProgramData\EuxttraShhoPPpEro\DN9dut2PoiLFyw.x64.dll No File
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
DPF: HKLM-x32 {CAFEEFAC-0015-0000-FFFF-ABCDEFFEDCBA} hxxp://javadl-esd.oracle.com/update/1.6.0/jinstall-6u26-windows-i586.cab
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\EG-*****\AppData\Roaming\Mozilla\Firefox\Profiles\x6jnt0nc.default-1418315303860
FF Homepage: hxxp://www.google.de/
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_296.dll ()
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_296.dll ()
FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-4236299763-1223815081-2659911176-1000: @tools.google.com/Google Update;version=3 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.)
FF Plugin HKU\S-1-5-21-4236299763-1223815081-2659911176-1000: @tools.google.com/Google Update;version=9 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.)
FF Extension: Adblock Plus - C:\Users\EG-*****\AppData\Roaming\Mozilla\Firefox\Profiles\x6jnt0nc.default-1418315303860\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-01-19]

Chrome: 
=======
CHR dev: Chrome dev build detected! <======= ATTENTION
CHR DefaultSearchKeyword: Default -> 7C4D6345214D8A9B683288A172D0D1CBDF2EA49DDA8C6C4DC23255958E432229
CHR DefaultSearchURL: Default -> 386A0C00DDB35776B71572E065F9CE95D6B6D0ACACBCDA8E1FDE24B472485E41
CHR Profile: C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Chromium Updater) - C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\elcobppkgnahmgmmmponggckemchdkco [2014-11-08]
CHR Extension: (Avira Browser Safety) - C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2014-11-08]
CHR Extension: (Color Icons for Gmail) - C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\omioomoieildjihcajfoobhhiecjkmfn [2014-11-28]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
StartMenuInternet: Google Chrome.2YWJ3542HXKF4I2EB4B7LN4J2A - C:\Users\EG-*****\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://istart.webssearches.com/?type=sc&ts=1417194019&from=obw&uid=WDCXWD1600AAJS-60B4A0_WD-WCAT2232230022300

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [431920 2014-12-16] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [431920 2014-12-16] (Avira Operations GmbH & Co. KG)
S2 Avira.OE.ServiceHost; C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe [166192 2014-11-20] (Avira Operations GmbH & Co. KG)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [119272 2014-09-24] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131608 2014-09-24] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2014-09-24] (Avira Operations GmbH & Co. KG)
S3 cpuz134; \??\C:\Users\EG-BAU~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
U3 aswMBR; \??\C:\Users\EG-BAU~1\AppData\Local\Temp\aswMBR.sys [X]
U3 aswVmm; \??\C:\Users\EG-BAU~1\AppData\Local\Temp\aswVmm.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-27 18:52 - 2015-01-27 18:53 - 00000000 ____D () C:\FRST
2015-01-27 18:11 - 2015-01-27 18:53 - 00000000 ____D () C:\Users\EG-*****\Desktop\reparieren alter pc
2015-01-22 17:28 - 2015-01-22 17:28 - 00000001 _____ () C:\Users\EG-*****\AppData\Local\llftool.4.40.agreement
2015-01-22 17:14 - 2015-01-22 17:14 - 02046464 _____ () C:\Users\EG-*****\Downloads\HDDLLF.4.40.exe
2015-01-21 00:54 - 2015-01-21 00:55 - 00000000 ____D () C:\Users\EG-*****\Desktop\gregor usb stick zwischenspeicher januar 15
2015-01-21 00:51 - 2015-01-21 00:54 - 00000000 ____D () C:\Users\EG-*****\AppData\Local\Apps\Windows 7 USB DVD Download Tool
2015-01-21 00:51 - 2015-01-21 00:51 - 00000000 ____D () C:\Users\EG-*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 USB DVD Download Tool
2015-01-21 00:49 - 2015-01-21 00:49 - 01191200 _____ () C:\Users\EG-*****\Downloads\Windows 7 USB DVD Download Tool - CHIP-Installer.exe
2015-01-20 23:24 - 2015-01-20 23:24 - 00000000 ____D () C:\Users\EG-*****\Downloads\Windows 7 Professional with Service Pack 1 (x86) - DVD (German)
2015-01-20 19:50 - 2015-01-20 19:51 - 00000000 ____D () C:\Sicherungen
2015-01-20 16:57 - 2015-01-20 16:57 - 00003197 _____ () C:\Users\EG-*****\Desktop\Secure Download Manager.lnk
2015-01-20 16:56 - 2015-01-20 16:56 - 00720896 _____ () C:\Users\EG-*****\Downloads\SDM_DE.msi
2015-01-20 16:56 - 2015-01-20 16:56 - 00000000 ____D () C:\Users\EG-*****\AppData\Roaming\e-academy Inc
2015-01-20 16:56 - 2015-01-20 16:56 - 00000000 ____D () C:\Users\EG-*****\AppData\Local\e-academy Inc
2015-01-20 00:53 - 2015-01-20 00:53 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox
2015-01-20 00:42 - 2015-01-20 00:45 - 00000000 ____D () C:\Users\EG-*****\Desktop\oma
2015-01-20 00:13 - 2015-01-20 00:13 - 01179936 _____ () C:\Users\EG-*****\Downloads\IrfanView Plug ins - CHIP-Installer(1).exe
2015-01-20 00:12 - 2015-01-20 00:12 - 01179936 _____ () C:\Users\EG-*****\Downloads\IrfanView Plug ins - CHIP-Installer.exe
2015-01-19 23:40 - 2015-01-19 23:40 - 00000000 ____D () C:\Users\EG-*****\AppData\Roaming\IrfanView
2015-01-19 23:40 - 2015-01-19 23:40 - 00000000 ____D () C:\Program Files (x86)\IrfanView
2015-01-19 23:39 - 2015-01-19 23:39 - 02197648 _____ (Irfan Skiljan) C:\Users\EG-*****\Downloads\iview438g_setup.exe
2015-01-15 11:32 - 2015-01-15 11:41 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2015-01-14 08:32 - 2014-12-19 04:06 - 00210432 _____ (Microsoft Corporation) C:\Windows\system32\profsvc.dll
2015-01-14 08:32 - 2014-12-19 02:46 - 00141312 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2015-01-14 08:32 - 2014-12-12 06:35 - 05553592 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-01-14 08:32 - 2014-12-12 06:31 - 00503808 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2015-01-14 08:32 - 2014-12-12 06:31 - 00296960 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2015-01-14 08:32 - 2014-12-12 06:31 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2015-01-14 08:32 - 2014-12-12 06:11 - 03971512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2015-01-14 08:32 - 2014-12-12 06:11 - 03916728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2015-01-14 08:32 - 2014-12-12 06:07 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\srclient.dll
2015-01-14 08:32 - 2014-12-11 18:47 - 00052736 _____ (Microsoft Corporation) C:\Windows\system32\TSWbPrxy.exe
2015-01-14 08:32 - 2014-12-06 05:17 - 00303616 _____ (Microsoft Corporation) C:\Windows\system32\nlasvc.dll
2015-01-14 08:32 - 2014-12-06 04:50 - 00156672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ncsi.dll
2015-01-14 08:32 - 2014-12-06 04:50 - 00052224 _____ (Microsoft Corporation) C:\Windows\SysWOW64\nlaapi.dll
2015-01-08 19:26 - 2015-01-27 16:03 - 00003154 _____ () C:\Windows\System32\Tasks\WinZipDriverUpdaterRunAtStartup
2015-01-03 18:32 - 2015-01-03 18:32 - 00615424 _____ () C:\Users\EG-*****\Downloads\Setup.exe
2015-01-03 15:23 - 2015-01-03 15:23 - 00000004 _____ () C:\Users\EG-*****\AppData\Roaming\appdataFr2.bin

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-27 18:52 - 2009-07-14 05:45 - 00031856 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-27 18:52 - 2009-07-14 05:45 - 00031856 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-27 18:37 - 2014-04-25 14:13 - 01915779 _____ () C:\Windows\WindowsUpdate.log
2015-01-27 18:24 - 2014-04-28 12:02 - 00001156 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000UA.job
2015-01-27 17:57 - 2014-05-03 11:48 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-01-27 16:01 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-27 16:01 - 2009-07-14 05:51 - 00101887 _____ () C:\Windows\setupact.log
2015-01-27 12:59 - 2014-04-26 13:04 - 01591896 _____ () C:\Windows\SysWOW64\PerfStringBackup.INI
2015-01-27 12:59 - 2011-04-12 08:43 - 00698688 _____ () C:\Windows\system32\perfh007.dat
2015-01-27 12:59 - 2011-04-12 08:43 - 00148828 _____ () C:\Windows\system32\perfc007.dat
2015-01-27 12:59 - 2009-07-14 06:13 - 01591896 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-01-27 08:24 - 2014-04-28 12:02 - 00001104 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000Core.job
2015-01-26 06:57 - 2014-05-03 11:48 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2015-01-26 06:57 - 2014-05-03 11:48 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-01-26 06:57 - 2014-05-03 11:48 - 00003822 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2015-01-23 18:26 - 2014-04-25 16:35 - 00000000 ____D () C:\günther
2015-01-21 17:55 - 2014-12-14 17:54 - 00000314 _____ () C:\Windows\Tasks\WinZipDriverUpdater_UPDATES.job
2015-01-21 01:27 - 2014-04-25 15:05 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-01-14 13:38 - 2014-04-28 17:46 - 00000000 ____D () C:\Windows\system32\MRT
2015-01-14 13:34 - 2014-04-28 17:46 - 113365784 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2015-01-04 14:28 - 2014-04-25 15:06 - 00000000 ____D () C:\Users\EG-*****\AppData\Local\Thunderbird

==================== Files in the root of some directories =======

2015-01-03 15:23 - 2015-01-03 15:23 - 0000004 _____ () C:\Users\EG-*****\AppData\Roaming\appdataFr2.bin
2014-10-28 08:42 - 2014-11-10 15:47 - 0000089 _____ () C:\Users\EG-*****\AppData\Roaming\WB.CFG
2015-01-22 17:28 - 2015-01-22 17:28 - 0000001 _____ () C:\Users\EG-*****\AppData\Local\llftool.4.40.agreement

Some content of TEMP:
====================
C:\Users\EG-*****\AppData\Local\Temp\avgnt.exe
C:\Users\EG-*****\AppData\Local\Temp\install_reader11_de_gtba_chra_dy_aaa_aih.exe
C:\Users\EG-*****\AppData\Local\Temp\LOCKv241.exe
C:\Users\EG-*****\AppData\Local\Temp\ose00000.exe
C:\Users\EG-*****\AppData\Local\Temp\Quarantine.exe
C:\Users\EG-*****\AppData\Local\Temp\ReimagePackage.exe
C:\Users\EG-*****\AppData\Local\Temp\sqlite3.dll
C:\Users\EG-*****\AppData\Local\Temp\vosteranupdate.exe


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-25 10:01

==================== End Of Log ============================

--- --- ---

--- --- ---

--- --- ---

und die Addition.txt:

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 24-01-2015 01
Ran by EG-***** at 2015-01-27 18:54:36
Running from C:\Users\EG-*****\Desktop\reparieren alter pc
Boot Mode: Normal
==========================================================


==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: Avira Desktop (Enabled - Up to date) {4D041356-F94D-285F-8768-AAE50FA36859}
AS: Avira Desktop (Enabled - Up to date) {F665F2B2-DF77-27D1-BDD8-9197742422E4}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

Adobe Flash Player 16 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 16.0.0.296 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.296 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.10) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.10 - Adobe Systems Incorporated)
Avira (HKLM-x32\...\{e7c7c227-b742-4878-9425-f09bbf9951db}) (Version: 1.1.27.25527 - Avira Operations & Co. KG)
Avira (x32 Version: 1.1.27.25527 - Avira Operations & Co. KG) Hidden
Avira Free Antivirus (HKLM-x32\...\Avira AntiVir Desktop) (Version: 14.0.7.468 - Avira)
CDBurnerXP (HKLM-x32\...\{7E265513-8CDA-4631-B696-F40D983F3B07}_is1) (Version: 4.5.4.5000 - CDBurnerXP)
Gimp Packages (HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\...\Gimp Packages) (Version:  - ) <==== ATTENTION
Google Chrome (HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\...\Google Chrome) (Version: 38.0.2125.104 - Google Inc.)
IrfanView (remove only) (HKLM-x32\...\IrfanView) (Version: 4.38 - Irfan Skiljan)
Java(TM) 6 Update 26 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216026FF}) (Version: 6.0.260 - Oracle)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Mein CEWE FOTOBUCH (HKLM-x32\...\Mein CEWE FOTOBUCH) (Version: 5.1.6 - CEWE Stiftung u Co. KGaA)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319 (HKLM\...\{DA5E371C-6333-3D8A-93A4-6FD5B20BCC6E}) (Version: 10.0.30319 - Microsoft Corporation)
Mozilla Firefox 35.0 (x86 de) (HKLM-x32\...\Mozilla Firefox 35.0 (x86 de)) (Version: 35.0 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 29.0.1 - Mozilla)
Mozilla Thunderbird 31.4.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 31.4.0 (x86 de)) (Version: 31.4.0 - Mozilla)
Opera Stable 25.0.1614.50 (HKLM-x32\...\Opera 25.0.1614.50) (Version: 25.0.1614.50 - Opera Software ASA)
Secure Download Manager (HKLM-x32\...\{C58626D6-7EBD-460D-8B6C-75B3C3464879}) (Version: 3.1.60 - Kivuto Solutions Inc.)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
Windows 7 USB/DVD Download Tool (HKLM-x32\...\{CCF298AF-9CE1-4B26-B251-486E98A34789}) (Version: 1.0.30 - Microsoft Corporation)
WinZip Driver Updater (HKLM-x32\...\{9854A5C4-5BE5-46E2-A989-352DD8B37E20}_is1) (Version: 1.0.648.16469 - WinZip Computing, S.L. (WinZip Computing))

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

CustomCLSID: HKU\S-1-5-21-4236299763-1223815081-2659911176-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-4236299763-1223815081-2659911176-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-4236299763-1223815081-2659911176-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-4236299763-1223815081-2659911176-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-4236299763-1223815081-2659911176-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File

==================== Restore Points  =========================

14-01-2015 13:34:18 Windows Update
20-01-2015 16:56:32 Secure Download Manager wird installiert
21-01-2015 00:51:31 Installed Windows 7 USB/DVD Download Tool
27-01-2015 12:56:23 Windows Update

==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____N C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {0F1290C2-A0FC-4AD4-83F2-D0E704B4CFA7} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {4CE0E04E-3ABB-4198-BE07-541D8405D948} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-01-26] (Adobe Systems Incorporated)
Task: {52A40C6A-89D4-41C0-B73A-125B9B7C41A8} - System32\Tasks\WinZipDriverUpdaterRunAtStartup => C:\Program Files (x86)\WinZip Driver Updater\winzipdu.exe [2014-11-27] (WinZip Computing, S.L. (WinZip Computing))
Task: {70E01794-20BC-4D75-96E9-8DCE366A15BB} - System32\Tasks\Opera scheduled Autoupdate 1413632444 => C:\Program Files (x86)\Opera\launcher.exe
Task: {73CFD353-21C7-453E-ADC8-92C771E92EF2} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000UA => C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe [2014-04-28] (Google Inc.)
Task: {D3C93D96-DBA1-4C68-B7F8-82990860E7A1} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000Core => C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe [2014-04-28] (Google Inc.)
Task: {E305E565-ED21-4BBB-87D7-FE4F600BB33D} - System32\Tasks\WinZipDriverUpdater_UPDATES => C:\Program Files (x86)\WinZip Driver Updater\winzipdu.exe [2014-11-27] (WinZip Computing, S.L. (WinZip Computing))
Task: {F83CC3EA-C291-4020-B545-95A0BA128461} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000Core.job => C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000UA.job => C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\WinZipDriverUpdater_UPDATES.job => C:\Program Files (x86)\WinZip Driver Updater\winzipdu.exe

==================== Loaded Modules (whitelisted) =============

2014-12-14 17:54 - 2013-03-01 18:18 - 00168448 _____ () C:\Program Files (x86)\WinZip Driver Updater\unrar.dll
2015-01-20 00:53 - 2015-01-20 00:53 - 03925104 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
2015-01-26 06:57 - 2015-01-26 06:57 - 16844976 _____ () C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_296.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)


==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)


==================== EXE Association (whitelisted) =============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== MSCONFIG/TASK MANAGER disabled items =========

(Currently there is no automatic fix for this section.)


========================= Accounts: ==========================

Administrator (S-1-5-21-4236299763-1223815081-2659911176-500 - Administrator - Disabled)
EG-***** (S-1-5-21-4236299763-1223815081-2659911176-1000 - Administrator - Enabled) => C:\Users\EG-*****
Gast (S-1-5-21-4236299763-1223815081-2659911176-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-4236299763-1223815081-2659911176-1002 - Limited - Enabled)

==================== Faulty Device Manager Devices =============

Name: Microsoft-Teredo-Tunneling-Adapter
Description: Microsoft-Teredo-Tunneling-Adapter
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: tunnel
Problem: : This device cannot start. (Code10)
Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.
On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.

Name: PS/2-kompatible Maus
Description: PS/2-kompatible Maus
Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: i8042prt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/27/2015 04:03:01 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/27/2015 10:54:45 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/27/2015 07:11:31 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/26/2015 10:18:29 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/26/2015 00:23:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/26/2015 06:29:45 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/25/2015 05:51:12 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/25/2015 09:25:46 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/24/2015 04:52:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/23/2015 06:16:40 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


System errors:
=============
Error: (01/27/2015 04:02:02 PM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst Avira Service Host erreicht.

Error: (01/27/2015 04:01:13 PM) (Source: atikmdag) (EventID: 10261) (User: )
Description: Display is not active

Error: (01/27/2015 04:01:13 PM) (Source: atikmdag) (EventID: 19468) (User: )
Description: CPLIB :: General - Invalid Parameter

Error: (01/27/2015 10:52:58 AM) (Source: atikmdag) (EventID: 10261) (User: )
Description: Display is not active

Error: (01/27/2015 10:52:58 AM) (Source: atikmdag) (EventID: 19468) (User: )
Description: CPLIB :: General - Invalid Parameter

Error: (01/27/2015 07:09:46 AM) (Source: atikmdag) (EventID: 10261) (User: )
Description: Display is not active

Error: (01/27/2015 07:09:46 AM) (Source: atikmdag) (EventID: 19468) (User: )
Description: CPLIB :: General - Invalid Parameter

Error: (01/26/2015 10:16:42 PM) (Source: atikmdag) (EventID: 10261) (User: )
Description: Display is not active

Error: (01/26/2015 10:16:42 PM) (Source: atikmdag) (EventID: 19468) (User: )
Description: CPLIB :: General - Invalid Parameter

Error: (01/26/2015 00:21:16 PM) (Source: atikmdag) (EventID: 10261) (User: )
Description: Display is not active


Microsoft Office Sessions:
=========================
Error: (01/27/2015 04:03:01 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/27/2015 10:54:45 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/27/2015 07:11:31 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/26/2015 10:18:29 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/26/2015 00:23:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/26/2015 06:29:45 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/25/2015 05:51:12 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/25/2015 09:25:46 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/24/2015 04:52:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (01/23/2015 06:16:40 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


==================== Memory info =========================== 

Processor: AMD Athlon(tm) Dual Core Processor 5200B
Percentage of memory in use: 47%
Total physical RAM: 3823.33 MB
Available physical RAM: 2011.47 MB
Total Pagefile: 7644.84 MB
Available Pagefile: 5252.85 MB
Total Virtual: 8192 MB
Available Virtual: 8191.84 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:148.95 GB) (Free:50.93 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149.1 GB) (Disk ID: 2DAF2DAF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS)

==================== End Of Log ============================

Bei der Externen (Stromversorgung per USB, Lämpchen leuchtet grün) hat sich etwas Neues ergeben.

Habe sie neu angesteckt, diesmal wurde sie komischerweise erkannt (entsprechendes Geräusch). Sie wird aber im Explorer etc. nicht angezeigt.

In der Datenträgerverwaltung sieht das Ganze so aus:

Warlord711 · 27.01.2015, 19:13

Lade Dir bitte von hier

Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.

Installiere und starte das Programm. (Bebilderte Anleitung zu Revo Uninstaller)
Klicke auf Optionen und wähle als Sprache Deutsch.
Suche im Uninstallerfeld nach den Programmen:

Gimp Packages
Java 6 Update 26
Wähle die Programme nacheinander aus und klicke jedes Mal auf Uninstall.
Wähle anschließend den Modus "Moderat" aus.
Reste löschen:
Klicke auf dann auf und dann auf .

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Starte noch einmal FRST.

Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

kakadu89 · 27.01.2015, 20:52

Habe die Anweisungen Schritt für Schritt abgearbeitet:

adwcleaner.txt:

Code:

ATTFilter

# AdwCleaner v4.109 - Bericht erstellt am 27/01/2015 um 20:06:37
# Aktualisiert 24/01/2015 von Xplode
# Database : 2015-01-26.1 [Live]
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzername : EG-***** - *****
# Gestartet von : C:\Users\EG-*****\Desktop\reparieren alter pc\AdwCleaner_4.109.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Datei Gelöscht : C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.re-markable00.re-markable.net_0.localstorage
Datei Gelöscht : C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.re-markable00.re-markable.net_0.localstorage-journal

***** [ Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKLM\SOFTWARE\SPPDCOM

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17496


-\\ Mozilla Firefox v35.0 (x86 de)


-\\ Google Chrome v

[C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Web Data] - Gelöscht [Search Provider] : hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3331617&octid=EB_ORIGINAL_CTID&ISID=M2E3E49C1-E1C8-4A1C-A7B1-57A3D5275628&SearchSource=58&CUI=&UM=6&UP=SPF1989694-D7A2-484B-96B6-7A2F61B0D09A&q={searchTerms}&SSPV=

-\\ Opera v0.0.0.0

[C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Web Data] - Gelöscht [Search Provider] : hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3331617&octid=EB_ORIGINAL_CTID&ISID=M2E3E49C1-E1C8-4A1C-A7B1-57A3D5275628&SearchSource=58&CUI=&UM=6&UP=SPF1989694-D7A2-484B-96B6-7A2F61B0D09A&q={searchTerms}&SSPV=

*************************

AdwCleaner[R0].txt - [12176 octets] - [08/12/2014 19:39:27]
AdwCleaner[R1].txt - [1769 octets] - [27/01/2015 20:01:19]
AdwCleaner[S0].txt - [15081 octets] - [08/12/2014 19:52:09]
AdwCleaner[S1].txt - [1966 octets] - [27/01/2015 20:06:37]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [2026 octets] ##########

JRT.txt:

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.4.1 (12.28.2014:1)
OS: Windows 7 Professional x64
Ran by EG-***** on 27.01.2015 at 20:14:03,03
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 27.01.2015 at 20:17:57,43
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

mbam.txt:

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org


Update, 27.01.2015 20:22:33, SYSTEM, *****, Manual, Remediation Database, 2013.10.16.1, 2014.12.6.1, 
Update, 27.01.2015 20:22:33, SYSTEM, *****, Manual, Rootkit Database, 2014.11.18.1, 2015.1.14.1, 
Update, 27.01.2015 20:22:58, SYSTEM, *****, Manual, Malware Database, 2014.11.20.6, 2015.1.27.8, 
Scan, 27.01.2015 20:38:49, SYSTEM, *****, Manual, Start: % 1 "% 2", Dauer: % 1 min 13 Sekunden, Bedrohungs-Suchlauf, Abgeschlossen, 0 Malwareerkennung, 4-Malwareerkennung, 

(end)

FRST2.txt:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-01-2015 01
Ran by EG-***** (administrator) on ***** on 27-01-2015 20:45:18
Running from C:\Users\EG-*****\Desktop\reparieren alter pc
Loaded Profiles: EG-***** (Available profiles: EG-*****)
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(AMD) C:\Windows\System32\atiesrxx.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe
(WinZip Computing, S.L. (WinZip Computing)) C:\Program Files (x86)\WinZip Driver Updater\winzipdu.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Google Inc.) C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [702768 2014-12-16] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [Avira Systray] => C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe [126200 2014-11-20] (Avira Operations GmbH & Co. KG)
HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\...\Run: [Google Update] => C:\Users\EG-*****\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2014-04-28] (Google Inc.)
HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\...\MountPoints2: {feaac65c-a097-11e4-be07-00218532d552} - F:\HTC_Sync_Manager_PC.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKU\S-1-5-21-4236299763-1223815081-2659911176-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-4236299763-1223815081-2659911176-1000 -> {63439FB3-34F4-4131-810D-AB4D9D60F17C} URL = https://www.google.com/search?q={searchTerms}
BHO: EuxttraShhoPPpEro -> {800481c9-8738-4a8f-8628-0567a44adea3} -> C:\ProgramData\EuxttraShhoPPpEro\DN9dut2PoiLFyw.x64.dll No File
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
DPF: HKLM-x32 {CAFEEFAC-0015-0000-FFFF-ABCDEFFEDCBA} hxxp://javadl-esd.oracle.com/update/1.6.0/jinstall-6u26-windows-i586.cab
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\EG-*****\AppData\Roaming\Mozilla\Firefox\Profiles\x6jnt0nc.default-1418315303860
FF Homepage: hxxp://www.google.de/
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_296.dll ()
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_296.dll ()
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-4236299763-1223815081-2659911176-1000: @tools.google.com/Google Update;version=3 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.)
FF Plugin HKU\S-1-5-21-4236299763-1223815081-2659911176-1000: @tools.google.com/Google Update;version=9 -> C:\Users\EG-*****\AppData\Local\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.)
FF Extension: Adblock Plus - C:\Users\EG-*****\AppData\Roaming\Mozilla\Firefox\Profiles\x6jnt0nc.default-1418315303860\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-01-19]

Chrome: 
=======
CHR dev: Chrome dev build detected! <======= ATTENTION
CHR DefaultSearchKeyword: Default -> 7C4D6345214D8A9B683288A172D0D1CBDF2EA49DDA8C6C4DC23255958E432229
CHR DefaultSearchURL: Default -> 386A0C00DDB35776B71572E065F9CE95D6B6D0ACACBCDA8E1FDE24B472485E41
CHR Profile: C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Chromium Updater) - C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\elcobppkgnahmgmmmponggckemchdkco [2014-11-08]
CHR Extension: (Avira Browser Safety) - C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2014-11-08]
CHR Extension: (Color Icons for Gmail) - C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\omioomoieildjihcajfoobhhiecjkmfn [2014-11-28]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
StartMenuInternet: Google Chrome.2YWJ3542HXKF4I2EB4B7LN4J2A - C:\Users\EG-*****\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://istart.webssearches.com/?type=sc&ts=1417194019&from=obw&uid=WDCXWD1600AAJS-60B4A0_WD-WCAT2232230022300

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [431920 2014-12-16] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [431920 2014-12-16] (Avira Operations GmbH & Co. KG)
R2 Avira.OE.ServiceHost; C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe [166192 2014-11-20] (Avira Operations GmbH & Co. KG)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [119272 2014-09-24] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131608 2014-09-24] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2014-09-24] (Avira Operations GmbH & Co. KG)
S3 cpuz134; \??\C:\Users\EG-BAU~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-27 20:19 - 2015-01-27 20:20 - 20447072 _____ (Malwarebytes Corporation ) C:\Users\EG-*****\Downloads\mbam-setup-2.0.4.1028(2).exe
2015-01-27 20:14 - 2015-01-27 20:14 - 00000000 ____D () C:\Windows\ERUNT
2015-01-27 19:54 - 2015-01-27 19:54 - 00001268 _____ () C:\Users\EG-*****\Desktop\Revo Uninstaller.lnk
2015-01-27 19:54 - 2015-01-27 19:54 - 00000000 ____D () C:\Program Files (x86)\VS Revo Group
2015-01-27 19:33 - 2015-01-27 19:33 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox
2015-01-27 18:52 - 2015-01-27 20:45 - 00000000 ____D () C:\FRST
2015-01-27 18:11 - 2015-01-27 20:45 - 00000000 ____D () C:\Users\EG-*****\Desktop\reparieren alter pc
2015-01-22 17:28 - 2015-01-22 17:28 - 00000001 _____ () C:\Users\EG-*****\AppData\Local\llftool.4.40.agreement
2015-01-22 17:14 - 2015-01-22 17:14 - 02046464 _____ () C:\Users\EG-*****\Downloads\HDDLLF.4.40.exe
2015-01-21 00:54 - 2015-01-21 00:55 - 00000000 ____D () C:\Users\EG-*****\Desktop\gregor usb stick zwischenspeicher januar 15
2015-01-21 00:51 - 2015-01-21 00:54 - 00000000 ____D () C:\Users\EG-*****\AppData\Local\Apps\Windows 7 USB DVD Download Tool
2015-01-21 00:51 - 2015-01-21 00:51 - 00000000 ____D () C:\Users\EG-*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 USB DVD Download Tool
2015-01-21 00:49 - 2015-01-21 00:49 - 01191200 _____ () C:\Users\EG-*****\Downloads\Windows 7 USB DVD Download Tool - CHIP-Installer.exe
2015-01-20 23:24 - 2015-01-20 23:24 - 00000000 ____D () C:\Users\EG-*****\Downloads\Windows 7 Professional with Service Pack 1 (x86) - DVD (German)
2015-01-20 19:50 - 2015-01-20 19:51 - 00000000 ____D () C:\Sicherungen
2015-01-20 16:57 - 2015-01-20 16:57 - 00003197 _____ () C:\Users\EG-*****\Desktop\Secure Download Manager.lnk
2015-01-20 16:56 - 2015-01-20 16:56 - 00720896 _____ () C:\Users\EG-*****\Downloads\SDM_DE.msi
2015-01-20 16:56 - 2015-01-20 16:56 - 00000000 ____D () C:\Users\EG-*****\AppData\Roaming\e-academy Inc
2015-01-20 16:56 - 2015-01-20 16:56 - 00000000 ____D () C:\Users\EG-*****\AppData\Local\e-academy Inc
2015-01-20 00:42 - 2015-01-20 00:45 - 00000000 ____D () C:\Users\EG-*****\Desktop\oma
2015-01-20 00:13 - 2015-01-20 00:13 - 01179936 _____ () C:\Users\EG-*****\Downloads\IrfanView Plug ins - CHIP-Installer(1).exe
2015-01-20 00:12 - 2015-01-20 00:12 - 01179936 _____ () C:\Users\EG-*****\Downloads\IrfanView Plug ins - CHIP-Installer.exe
2015-01-19 23:40 - 2015-01-19 23:40 - 00000000 ____D () C:\Users\EG-*****\AppData\Roaming\IrfanView
2015-01-19 23:40 - 2015-01-19 23:40 - 00000000 ____D () C:\Program Files (x86)\IrfanView
2015-01-19 23:39 - 2015-01-19 23:39 - 02197648 _____ (Irfan Skiljan) C:\Users\EG-*****\Downloads\iview438g_setup.exe
2015-01-15 11:32 - 2015-01-15 11:41 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2015-01-14 08:32 - 2014-12-19 04:06 - 00210432 _____ (Microsoft Corporation) C:\Windows\system32\profsvc.dll
2015-01-14 08:32 - 2014-12-19 02:46 - 00141312 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2015-01-14 08:32 - 2014-12-12 06:35 - 05553592 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-01-14 08:32 - 2014-12-12 06:31 - 00503808 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2015-01-14 08:32 - 2014-12-12 06:31 - 00296960 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2015-01-14 08:32 - 2014-12-12 06:31 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2015-01-14 08:32 - 2014-12-12 06:11 - 03971512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2015-01-14 08:32 - 2014-12-12 06:11 - 03916728 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2015-01-14 08:32 - 2014-12-12 06:07 - 00043008 _____ (Microsoft Corporation) C:\Windows\SysWOW64\srclient.dll
2015-01-14 08:32 - 2014-12-11 18:47 - 00052736 _____ (Microsoft Corporation) C:\Windows\system32\TSWbPrxy.exe
2015-01-14 08:32 - 2014-12-06 05:17 - 00303616 _____ (Microsoft Corporation) C:\Windows\system32\nlasvc.dll
2015-01-14 08:32 - 2014-12-06 04:50 - 00156672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ncsi.dll
2015-01-14 08:32 - 2014-12-06 04:50 - 00052224 _____ (Microsoft Corporation) C:\Windows\SysWOW64\nlaapi.dll
2015-01-08 19:26 - 2015-01-27 20:40 - 00003154 _____ () C:\Windows\System32\Tasks\WinZipDriverUpdaterRunAtStartup
2015-01-03 15:23 - 2015-01-03 15:23 - 00000004 _____ () C:\Users\EG-*****\AppData\Roaming\appdataFr2.bin

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-01-27 20:43 - 2014-12-08 18:50 - 00129752 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-01-27 20:40 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-01-27 20:40 - 2009-07-14 05:51 - 00101999 _____ () C:\Windows\setupact.log
2015-01-27 20:39 - 2014-04-25 15:05 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-01-27 20:39 - 2014-04-25 14:13 - 01931069 _____ () C:\Windows\WindowsUpdate.log
2015-01-27 20:39 - 2010-11-21 04:47 - 00197912 _____ () C:\Windows\PFRO.log
2015-01-27 20:24 - 2014-04-28 12:02 - 00001156 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000UA.job
2015-01-27 20:22 - 2014-12-08 18:50 - 00000000 ____D () C:\Program Files (x86)\ Malwarebytes Anti-Malware 
2015-01-27 20:16 - 2009-07-14 05:45 - 00031856 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-01-27 20:16 - 2009-07-14 05:45 - 00031856 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-01-27 20:06 - 2014-12-08 19:39 - 00000000 ____D () C:\AdwCleaner
2015-01-27 19:57 - 2014-05-03 11:48 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-01-27 19:02 - 2011-04-12 08:43 - 00698688 _____ () C:\Windows\system32\perfh007.dat
2015-01-27 19:02 - 2011-04-12 08:43 - 00148828 _____ () C:\Windows\system32\perfc007.dat
2015-01-27 19:02 - 2009-07-14 06:13 - 01618320 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-01-27 12:59 - 2014-04-26 13:04 - 01591896 _____ () C:\Windows\SysWOW64\PerfStringBackup.INI
2015-01-27 08:24 - 2014-04-28 12:02 - 00001104 _____ () C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4236299763-1223815081-2659911176-1000Core.job
2015-01-26 06:57 - 2014-05-03 11:48 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2015-01-26 06:57 - 2014-05-03 11:48 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-01-26 06:57 - 2014-05-03 11:48 - 00003822 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2015-01-23 18:26 - 2014-04-25 16:35 - 00000000 ____D () C:\günther
2015-01-21 17:55 - 2014-12-14 17:54 - 00000314 _____ () C:\Windows\Tasks\WinZipDriverUpdater_UPDATES.job
2015-01-14 13:38 - 2014-04-28 17:46 - 00000000 ____D () C:\Windows\system32\MRT
2015-01-14 13:34 - 2014-04-28 17:46 - 113365784 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2015-01-04 14:28 - 2014-04-25 15:06 - 00000000 ____D () C:\Users\EG-*****\AppData\Local\Thunderbird

==================== Files in the root of some directories =======

2015-01-03 15:23 - 2015-01-03 15:23 - 0000004 _____ () C:\Users\EG-*****\AppData\Roaming\appdataFr2.bin
2014-10-28 08:42 - 2014-11-10 15:47 - 0000089 _____ () C:\Users\EG-*****\AppData\Roaming\WB.CFG
2015-01-22 17:28 - 2015-01-22 17:28 - 0000001 _____ () C:\Users\EG-*****\AppData\Local\llftool.4.40.agreement

Some content of TEMP:
====================
C:\Users\EG-*****\AppData\Local\Temp\avgnt.exe
C:\Users\EG-*****\AppData\Local\Temp\install_reader11_de_gtba_chra_dy_aaa_aih.exe
C:\Users\EG-*****\AppData\Local\Temp\LOCKv241.exe
C:\Users\EG-*****\AppData\Local\Temp\ose00000.exe
C:\Users\EG-*****\AppData\Local\Temp\Quarantine.exe
C:\Users\EG-*****\AppData\Local\Temp\ReimagePackage.exe
C:\Users\EG-*****\AppData\Local\Temp\sqlite3.dll
C:\Users\EG-*****\AppData\Local\Temp\vosteranupdate.exe


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2015-01-25 10:01

==================== End Of Log ============================

--- --- ---

--- --- ---

Warlord711 · 28.01.2015, 09:45

Das MBAM Log ist leider das falsche:

Malwarebytes Anti-Malware Logfile finden - Anleitungen

Lass bitte noch ESET laufen und dann schauen wir mal weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

kakadu89 · 28.01.2015, 15:49

neue mbam.txt:

Code:

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 28.01.2015
Suchlauf-Zeit: 14:07:49
Logdatei: mbamrichtig.txt
Administrator: Ja

Version: 2.00.4.1028
Malware Datenbank: v2015.01.27.08
Rootkit Datenbank: v2015.01.14.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: EG-*****

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 326006
Verstrichene Zeit: 14 Min, 2 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente erkannt)

Module: 0
(Keine schädliche Elemente erkannt)

Registrierungsschlüssel: 0
(Keine schädliche Elemente erkannt)

Registrierungswerte: 0
(Keine schädliche Elemente erkannt)

Registrierungsdaten: 0
(Keine schädliche Elemente erkannt)

Ordner: 0
(Keine schädliche Elemente erkannt)

Dateien: 0
(Keine schädliche Elemente erkannt)

Physische Sektoren: 0
(Keine schädliche Elemente erkannt)


(end)

esetlog.txt:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=8f72658af9ecaa4cabaea3e3937eae5d
# engine=22188
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-01-28 02:46:40
# local_time=2015-01-28 03:46:40 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1='Avira Desktop'
# compatibility_mode=1810 16777213 100 99 10471 10900940 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 8823972 174086250 0 0
# scanned=195005
# found=24
# cleaned=0
# scan_time=4285
sh=CC76E7F047B22E219ABC79BD71A9B349E8B9A26F ft=1 fh=86b07d277a728b69 vn="Variante von Win32/SpeedingUpMyPC Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\Optimizer Pro\OptimizerPro.exe.vir"
sh=EE4BA07CE9EB251688B1C705B3F08062726E558B ft=1 fh=34492afbc87e39c2 vn="Variante von Win32/SProtector.L evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Program Files (x86)\Optimizer Pro\OptProCrash.dll.vir"
sh=3C96F340EE3EE75C8FEB7FAAF6E83E9B36DC8C46 ft=1 fh=22f1e32b86c3f472 vn="Variante von Win64/Adware.MultiPlug.E Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\ProgramData\EuxttraShhoPPpEro\DN9dut2PoiLFyw.x64.dll.vir"
sh=BCFD3EF0BF85A11C3A3ABD16100AF616751F04A4 ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnonmngnmlfjajljeccjlmbfnemmcpnk\4.5\lsdb.js.vir"
sh=8DA0ADC538851DA5F6BDD445A8A679590CD7A5ED ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnonmngnmlfjajljeccjlmbfnemmcpnk\4.5\RxTY7.js.vir"
sh=578C6C2B172CF8E9E2F1F11018FB293EF6469C06 ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\EG-*****\AppData\Roaming\Mozilla\Firefox\Profiles\r23y3ytk.default\Extensions\gt@Ncwa3.net\content\bg.js.vir"
sh=774BA21519D9C0715D1DC13AE02A7BD3C5BDA53E ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="C:\AdwCleaner\Quarantine\C\Users\EG-*****\AppData\Roaming\Mozilla\Firefox\Profiles\r23y3ytk.default\Extensions\k@4UVlM.edu\content\bg.js.vir"
sh=A5AFD43F80036873D9CF6AEBD2F6A2EABBA072D6 ft=1 fh=9f46438dbe9f0851 vn="Variante von Win64/Systweak.A evtl. unerwünschte Anwendung" ac=I fn="C:\AdwCleaner\Quarantine\C\Windows\System32\roboot64.exe.vir"
sh=13419407FBF6DB96C5107CBA1387898185C5B6E8 ft=1 fh=ff678d7888e6161c vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\günther\Filme\Converter_Format-Factory-DE-2-50.exe"
sh=13419407FBF6DB96C5107CBA1387898185C5B6E8 ft=1 fh=ff678d7888e6161c vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="C:\günther\Filme\Format-Factory-DE-2-50.exe"
sh=29BD0F6DF627B2F62CF1C9E5B681EA52D033E223 ft=0 fh=0000000000000000 vn="JS/Adware.MultiPlug.B Anwendung" ac=I fn="C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\elcobppkgnahmgmmmponggckemchdkco\123\content.js"
sh=D993D515094BF0996F931EE1A4E0CCAC9AAB1840 ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\elcobppkgnahmgmmmponggckemchdkco\123\O.js"
sh=FA7D364BA2DCFE8BDFF5559ABBBFDFA87BBB34FF ft=0 fh=0000000000000000 vn="JS/Chromex.Agent.L Trojaner" ac=I fn="C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\omioomoieildjihcajfoobhhiecjkmfn\188\content.js"
sh=6BEF968B72CBEFC089C2C1669E9EE3CED9B9080E ft=0 fh=0000000000000000 vn="JS/Kryptik.ATB Trojaner" ac=I fn="C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\omioomoieildjihcajfoobhhiecjkmfn\188\xYvGuy.js"
sh=94EA6DE0BE94B71C43DE63ADCDDF257DA7927C6B ft=1 fh=1208c69ac750d5f3 vn="Variante von Win32/ReImageRepair.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\AppData\Local\Temp\ReimagePackage.exe"
sh=73F014A2D259F5875C45507D749FC2B391217AE7 ft=1 fh=692f4fc1eac96774 vn="Win32/DealPly.Z evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\AppData\Local\Temp\vosteranupdate.exe"
sh=EEF888BE834C4E91C9E4ABE14F70A12C34C660C6 ft=1 fh=cdc87a9e7abc1404 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\AppData\Local\Temp\DMR\dmr_72.exe"
sh=7D37CBCB1B83EFDD866571BA077FF38BB1A64AB6 ft=1 fh=d1c89b6a620fac4f vn="Win32/SpeedUpMyPC evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\AppData\Local\Temp\is-VT1T3.tmp\sp-standalone-setup.exe"
sh=DCBF7C862702AA4AEB3829635CFDA24F748C5C9D ft=1 fh=ec5694e00178e247 vn="Win32/VOPackage.AX evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\AppData\Local\Temp\is45637729\108715_stp\Generic_vo.exe"
sh=3E9FEA30C766AEF360DEFD82F77695D022E23BD5 ft=1 fh=18d475d83ba82c34 vn="Win32/VOPackage.AX evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\AppData\Local\Temp\is45637729\1869860_stp\Generic_vo.exe"
sh=02F040A2EFB05ABEC4AD1A9D54AE8631F25A647A ft=1 fh=4e6b16fff7a9db17 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\Downloads\IrfanView Plug ins - CHIP-Installer(1).exe"
sh=ADA1D995F68DE08E9178362184088B6CFB0040F1 ft=1 fh=3f5c2e0264ff7e46 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\Downloads\IrfanView Plug ins - CHIP-Installer.exe"
sh=63D4813A1157A633B543B358A9FD5C30396A208A ft=1 fh=0d8b717333481cd8 vn="Variante von Win32/ReImageRepair.B evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\Downloads\ReimageRepair.exe"
sh=EF2FD3EFBEE2DEBC8A338E1A2C9972D543597DE4 ft=1 fh=ef80f62fa4774a2c vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\EG-*****\Downloads\Windows 7 USB DVD Download Tool - CHIP-Installer.exe"

Warlord711 · 28.01.2015, 17:05

Denk bitte dran, im Fix die ***** zu ersetzen.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\omioomoieildjihcajfoobhhiecjkmfn\188\
C:\Users\EG-*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\elcobppkgnahmgmmmponggckemchdkco\123\

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

"C:\günther\Filme\Converter_Format-Factory-DE-2-50.exe"
"C:\günther\Filme\Format-Factory-DE-2-50.exe"

Sind Setups mit Toolbar, am besten löschen.

Chip/Softonic Downloader:

Bei Chip.de und Softonic gibt es beim Download zwei Möglichkeiten:
einmal den Chip Downloader mit DownloadSponsor, der Werbung mitbringt und gern versucht, den User dazu zu überreden, noch diese und jene Toolbar zu installieren.

Und es gibt immer den alternativen Download, das ist die eigentliche Anwendung als Setup, so wie sie vom Hersteller kommt. Der Alternativlink ist genau unter der Chip Download-Schaltfläche.

Ansonsten wären die Logs dann sauber.

Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.

Ändere regelmäßig alle deine Passwörter, jetzt, nach der Bereinigung ist ein idealer Zeitpunkt dafür

verwende für jede Anwendung und jeden Account ein anderes Passwort
ändere regelmäßig dein Passwort, vor allem bei Onlinebanking oder deinem Emailpostfach ist dieses sehr wichtig
speichere keine Passwörter auf deinem PC, gib diese nicht an dritte weiter
ein sicheres Passwort besteht aus mindestens 8 Zeichen und beinhaltet Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
benutze keine Zahlen- oder Buchstabenkombinationen, ( zB 12345678, qwertzui) auch keine Zahlen oder Buchstabenmuster
verwende keine Passwörter die einen Bezug zu dir, deinem Wohnort, Familienmitglied oder Haustier (Geburtsdatum, Postleitzahl, Adresse, Name) haben

Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7 / 8 : Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti-Viren-Programm und zusätzlicher Schutz

Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!
MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
AdwCleaner
Dieses Tool erkennt eine Vielzahl von Werbeprogrammen (Adware) und unerwümschten Programmen (PUPs).
Starte das Tool einmal die Woche und lass es laufen. Sollte eine neue Version verfügbar sein, so wird dies angezeigt und du kannst dir die neueste Version direkt auf den Desktop downloaden.
SpywareBlaster
Eine kurze Einführung findest du Hier
WOT (Web of trust)
Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Mozilla Firefox

Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
NoScript
Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
AdblockPlus
Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
Es spart außerdem Downloadkapazität.

Performance

Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von Registry Cleanern.
Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link:
Miekemoes Blogspot ( MVP )

Was du vermeiden solltest:

Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.
Lade keine Software von Softonic oder Chip herunter, da diese Installer oft mit Adware oder unerünschter Software versehen sind!

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen oder Lob, Kritik und Wünsche loswerden?

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

27.01.2015, 18:35	#5
Warlord711 /// TB-Ausbilder	'BOO/TDss.A' auf Rechner und externer Festplatte Deine externe Platte sieht erstmal nicht gesund aus. Hat die nen extra Netzteil oder Stromversorgung per USB ? __________________ Lerne, zurück zu schlagen und unterstütze uns! TB Akademie \| Spende \| Lob & Kritik

'BOO/TDss.A' auf Rechner und externer Festplatte

Plagegeister aller Art und deren Bekämpfung: 'BOO/TDss.A' auf Rechner und externer Festplatte