Trojaner-Board - "System Care AV" Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "System Care AV" Trojaner (https://www.trojaner-board.de/135603-system-care-av-trojaner.html)

"System Care AV" Trojaner

Hallo zusammen(<- das SOS in AV-boards),

ich schreib dies von meinem Zweitrechner, weil ich auf meinen Haupt-PC grad keinen richtigen Zugriff mehr habe, Grund ist ein angebliches AV-Programm, das plötzlich aufgetaucht ist, ich erwarte nämlich Päckchen und habe von DHL in englisch eine email bekommen in der ich die Sendungsverfolgung einleiten konnte.
Die email hieß: "postal notification service", ich denke das von dieser email ausgehend sich dieser Trojaner "system care" (wenns einer ist) installiert hat.
In der email sind 2 links, einer ist "get shipment info", der andere ist "tracking page" und man wird dann weitergeleitet und soll was runterladen, wie man es immer tut, wenn man adobe-acrobat mäßig was ansehen will..und ich denke da ist das passiert.
Jedenfalls startet dieses System Care jetzt dauernd Suchläufe, ich hab keinen Zugriff mehr auf gar nichts, kommt immer "datei/programm infected, cannot start .exe" und das passiert mit dem browser, sowie mit dem task manager, sowie mit allen anderen Programmen.
Habe versucht das Programm zu beenden, es wegzuklicken, nichts geht.

Das problem ist also zuerst, wie bekomme ich Zugriff auf den Rechner, damit ich Bereinigungsmaßnahmen einleiten kann. (OTL habe ich auf den Rechner übertragen können mittels Speicher-stick, aber auch das wollte er nicht starten, siehe Fehlermeldung oben)

Bis dahin kann ich leider auch keine richtigen Daten über mein System anbieten, weiß nur das es windows 7 32-bit ist.
Per google habe schon einen Thread von hier gefunden, aber derjenige hatte noch Zugriff auf sein System.

:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Vielen Dank für das Post, habe getan wie geheißen und soweit hat auch alles geklappt, bis auf daß nur eine OTL.txt ausgegeben worden ist.
Leider keine extras.txt, aber hier mal die otl.txt:OTL Logfile:

Code:

OTL logfile created on: 5/27/2013 12:04:25 PM - Run 

OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE

64bit-Windows 7 Home Premium Service Pack 1 (Version = 6.1.7601) - Type = System

Internet Explorer (Version = 8.0.7601.17514)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 92.00% Memory free

3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = H: | %SystemRoot% = H:\Windows | %ProgramFiles% = H:\Program Files (x86)

Drive C: | 100.00 Mb Total Space | 74.34 Mb Free Space | 74.34% Space Free | Partition Type: NTFS

Drive H: | 164.15 Gb Total Space | 121.26 Gb Free Space | 73.87% Space Free | Partition Type: NTFS

Drive I: | 468.75 Gb Total Space | 201.46 Gb Free Space | 42.98% Space Free | Partition Type: NTFS

Drive J: | 298.50 Gb Total Space | 245.91 Gb Free Space | 82.38% Space Free | Partition Type: NTFS

Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet001

 
 ========== Win32 Services (SafeList) ==========

 

SRV:64bit: - [2009/07/13 21:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto] -- H:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

SRV - [2013/05/23 00:45:00 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand] -- H:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)

SRV - [2013/05/22 01:10:42 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- H:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2013/05/10 03:57:22 | 000,065,640 | ---- | M] (Adobe Systems Incorporated) [Auto] -- H:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)

SRV - [2013/02/28 12:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Auto] -- H:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)

SRV - [2013/02/25 18:32:22 | 001,260,320 | ---- | M] (NVIDIA Corporation) [Auto] -- H:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)

SRV - [2013/01/18 02:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) [Auto] -- H:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)

SRV - [2012/05/15 15:54:13 | 004,295,288 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand] -- H:\Windows\SysWow64\GameMon.des -- (npggsvc)

SRV - [2010/12/20 13:24:38 | 002,656,280 | ---- | M] (Intel Corporation) [Auto] -- H:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R)

SRV - [2010/12/20 13:24:36 | 000,325,656 | ---- | M] (Intel Corporation) [Auto] -- H:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R)

SRV - [2010/05/04 06:07:22 | 000,503,080 | ---- | M] (Nero AG) [Auto] -- H:\Program Files (x86)\Nero\Update\NASvc.exe -- (NAUpdate) @C:\Program Files (x86)

SRV - [2010/03/18 08:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto] -- H:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)

SRV - [2009/06/10 17:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled] -- H:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV:64bit: - [2013/03/28 01:38:34 | 000,130,016 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- H:\Windows\System32\drivers\avipbb.sys -- (avipbb)

DRV:64bit: - [2013/03/28 01:38:34 | 000,100,712 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- H:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)

DRV:64bit: - [2013/03/28 01:38:34 | 000,028,600 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- H:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)

DRV:64bit: - [2012/07/03 11:25:16 | 000,189,288 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- H:\Windows\System32\drivers\nvhda64v.sys -- (NVHDA)

DRV:64bit: - [2011/07/29 07:54:56 | 000,016,776 | ---- | M] () [Kernel | On_Demand] -- H:\Windows\System32\epmntdrv.sys -- (epmntdrv)

DRV:64bit: - [2011/07/29 07:54:56 | 000,009,096 | ---- | M] () [Kernel | On_Demand] -- H:\Windows\System32\EuGdiDrv.sys -- (EuGdiDrv)

DRV:64bit: - [2011/06/10 01:34:52 | 000,539,240 | ---- | M] (Realtek                                            ) [Kernel | On_Demand] -- H:\Windows\System32\drivers\Rt64win7.sys -- (RTL8167)

DRV:64bit: - [2011/03/23 10:41:28 | 000,036,448 | ---- | M] (Asmedia Technology) [Kernel | Boot] -- H:\Windows\System32\drivers\asahci64.sys -- (asahci64)

DRV:64bit: - [2011/02/24 05:30:50 | 000,389,608 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand] -- H:\Windows\System32\drivers\asmtxhci.sys -- (asmtxhci)

DRV:64bit: - [2011/02/24 05:30:50 | 000,126,952 | ---- | M] (ASMedia Technology Inc) [Kernel | On_Demand] -- H:\Windows\System32\drivers\asmthub3.sys -- (asmthub3)

DRV:64bit: - [2010/11/20 23:24:33 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- H:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)

DRV:64bit: - [2010/11/20 23:23:47 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- H:\Windows\system32\drivers\TsUsbGD.sys -- (TsUsbGD)

DRV:64bit: - [2010/10/19 11:34:26 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- H:\Windows\System32\drivers\HECIx64.sys -- (MEIx64) Intel(R)

DRV:64bit: - [2009/06/10 16:38:56 | 000,000,308 | ---- | M] () [File_System | On_Demand] -- H:\Windows\System32\wbem\ntfs.mof -- (Ntfs)

DRV:64bit: - [2009/06/10 16:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- H:\Windows\system32\drivers\evbda.sys -- (ebdrv)

DRV:64bit: - [2009/06/10 16:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- H:\Windows\system32\drivers\bxvbda.sys -- (b06bdrv)

DRV:64bit: - [2009/06/10 16:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- H:\Windows\System32\drivers\b57nd60a.sys -- (b57nd60a)

DRV - [2011/07/29 07:54:56 | 000,014,216 | ---- | M] () [Kernel | On_Demand] -- H:\Windows\SysWOW64\epmntdrv.sys -- (epmntdrv)

DRV - [2011/07/29 07:54:56 | 000,008,456 | ---- | M] () [Kernel | On_Demand] -- H:\Windows\SysWOW64\EuGdiDrv.sys -- (EuGdiDrv)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

IE - HKU\Markus_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKU\Markus_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp

IE - HKU\Markus_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKU\Markus_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 44 D0 0E 48 43 E4 CC 01  [binary data]

IE - HKU\Markus_ON_H\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

 

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: H:\Windows\System32\Macromed\Flash\NPSWF64_11_7_700_202.dll ()

FF:64bit: - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: H:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)

FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: H:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@adobe.com/FlashPlayer: H:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll ()

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@adobe.com/ShockwavePlayer: H:\Windows\SysWOW64\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@divx.com/DivX Plus Web Player Plug-In,version=1.0.0: H:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: H:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: H:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: H:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@nvidia.com/3DVision: H:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@nvidia.com/3DVisionStreaming: H:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: H:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)

FF - HKLM\Software\Wow6432Node\MozillaPlugins\Adobe Reader: H:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}: C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff\

FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2013/05/14 03:53:27 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components

FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013/05/23 00:44:58 | 000,000,000 | ---D | M]

 

[2013/05/23 00:45:01 | 000,000,000 | ---D | M] (No name found) -- H:\Program Files (x86)\Mozilla Firefox\extensions

[2013/05/23 00:44:58 | 000,000,000 | ---D | M] (Java Console) -- H:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}

[2013/05/23 00:44:58 | 000,000,000 | ---D | M] (Java Console) -- H:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}

[2013/05/23 00:44:58 | 000,000,000 | ---D | M] (Java Console) -- H:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}

[2013/05/23 00:45:00 | 000,000,000 | ---D | M] (No name found) -- H:\Program Files (x86)\Mozilla Firefox\browser\extensions

[2013/05/23 00:45:00 | 000,000,000 | ---D | M] (Default) -- H:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

[2010/03/08 06:24:04 | 000,103,168 | ---- | M] (Midasplayer Ltd) -- H:\Program Files (x86)\mozilla firefox\plugins\npmidas.dll

 

O1 HOSTS File: ([2009/06/10 17:00:26 | 000,000,824 | ---- | M]) - H:\Windows\System32\drivers\etc\hosts

O2:64bit: - BHO: (DVDVideoSoft WebPageAdjuster Class) - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -  File not found

O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - H:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)

O2 - BHO: (DVDVideoSoft WebPageAdjuster Class) - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -  File not found

O4:64bit: - HKLM..\Run: [boincmgr]  File not found

O4:64bit: - HKLM..\Run: [boinctray]  File not found

O4:64bit: - HKLM..\Run: [RtHDVCpl] H:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)

O4 - HKLM..\Run: [avgnt]  File not found

O4 - HKLM..\Run: [DivXMediaServer] H:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (DivX, LLC)

O4 - HKLM..\Run: [DivXUpdate] H:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()

O4 - HKU\LocalService_ON_H..\Run: [Sidebar] H:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)

O4 - HKU\Markus_ON_H..\Run: [pkfjtrfg] H:\Users\Markus\AppData\Local\saamobpo.exe ()

O4 - HKU\NetworkService_ON_H..\Run: [Sidebar] H:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)

O4 - HKU\UpdatusUser_ON_H..\Run: [Sidebar] H:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)

O4 - HKU\LocalService_ON_H..\RunOnce: [mctadmin]  File not found

O4 - HKU\Markus_ON_H..\RunOnce: [D6913FE8FE3590D50000D690695E96D7] H:\ProgramData\D6913FE8FE3590D50000D690695E96D7\D6913FE8FE3590D50000D690695E96D7.exe ()

O4 - HKU\NetworkService_ON_H..\RunOnce: [mctadmin]  File not found

O4 - HKU\UpdatusUser_ON_H..\RunOnce: [mctadmin]  File not found

O4 - Startup: Error locating startup folders.

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O9:64bit: - Extra Button: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -  File not found

O9:64bit: - Extra 'Tools' menuitem : Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -  File not found

O9 - Extra Button: Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -  File not found

O9 - Extra 'Tools' menuitem : Free YouTube Download - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -  File not found

O13:64bit: - gopher Prefix: missing

O13 - gopher Prefix: missing

O15:64bit: - .DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)

O15:64bit: - .DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)

O15:64bit: - .DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)

O15:64bit: - .DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)

O15:64bit: - LocalService_ON_H\..Trusted Domains: clonewarsadventures.com ([]* in )

O15:64bit: - LocalService_ON_H\..Trusted Domains: freerealms.com ([]* in )

O15:64bit: - LocalService_ON_H\..Trusted Domains: soe.com ([]* in )

O15:64bit: - LocalService_ON_H\..Trusted Domains: sony.com ([]* in )

O15:64bit: - Markus_ON_H\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)

O15:64bit: - Markus_ON_H\..Trusted Domains: freerealms.com ([]* in Trusted sites)

O15:64bit: - Markus_ON_H\..Trusted Domains: soe.com ([]* in Trusted sites)

O15:64bit: - Markus_ON_H\..Trusted Domains: sony.com ([]* in Trusted sites)

O15:64bit: - NetworkService_ON_H\..Trusted Domains: clonewarsadventures.com ([]* in )

O15:64bit: - NetworkService_ON_H\..Trusted Domains: freerealms.com ([]* in )

O15:64bit: - NetworkService_ON_H\..Trusted Domains: soe.com ([]* in )

O15:64bit: - NetworkService_ON_H\..Trusted Domains: sony.com ([]* in )

O15:64bit: - UpdatusUser_ON_H\..Trusted Domains: clonewarsadventures.com ([]* in )

O15:64bit: - UpdatusUser_ON_H\..Trusted Domains: freerealms.com ([]* in )

O15:64bit: - UpdatusUser_ON_H\..Trusted Domains: soe.com ([]* in )

O15:64bit: - UpdatusUser_ON_H\..Trusted Domains: sony.com ([]* in )

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Value error.)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 10.17.2)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 192.168.2.1

O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found

O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found

O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found

O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - H:\Windows\explorer.exe (Microsoft Corporation)

O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - H:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)

O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found

O20 - HKLM Winlogon: Shell - (explorer.exe) - H:\Windows\SysWow64\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found

O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
 64bit: O35 - HKLM\..comfile [open] -- "%1" %* File not found
 64bit: O35 - HKLM\..exefile [open] -- "%1" %* File not found

O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*

O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2013/05/26 01:23:47 | 000,602,112 | ---- | C] (OldTimer Tools) -- H:\Users\Markus\Desktop\OTL.exe

[2013/05/25 12:33:57 | 000,000,000 | ---D | C] -- H:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus

[2013/05/25 12:29:26 | 000,000,000 | ---D | C] -- H:\ProgramData\D6913FE8FE3590D50000D690695E96D7

[2013/05/23 00:44:57 | 000,000,000 | ---D | C] -- H:\Program Files (x86)\Mozilla Firefox

[2013/05/16 21:00:36 | 000,000,000 | ---D | C] -- H:\Program Files (x86)\MSXML 4.0

[2013/05/16 20:32:06 | 000,000,000 | ---D | C] -- H:\Users\Markus\AppData\Local\Nero_AG

[2013/05/16 20:32:04 | 000,000,000 | ---D | C] -- H:\Users\Markus\AppData\Local\Nero

[2013/05/16 20:31:54 | 000,000,000 | ---D | C] -- H:\Users\Markus\AppData\Roaming\Nero

[2013/05/16 02:23:38 | 000,000,000 | ---D | C] -- H:\Program Files (x86)\Common Files\Nero

[2013/05/16 02:23:26 | 000,000,000 | ---D | C] -- H:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero

[2013/05/16 02:22:59 | 000,000,000 | ---D | C] -- H:\Program Files (x86)\Nero

[2013/05/16 02:22:37 | 000,000,000 | ---D | C] -- H:\ProgramData\Nero

[2013/05/15 11:29:09 | 000,265,064 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\drivers\dxgmms1.sys

[2013/05/15 11:29:09 | 000,144,384 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\cdd.dll

[2013/05/15 11:29:07 | 001,930,752 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\authui.dll

[2013/05/15 11:29:07 | 001,796,096 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\authui.dll

[2013/05/15 11:29:07 | 000,197,120 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\shdocvw.dll

[2013/05/15 11:29:07 | 000,111,448 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\consent.exe

[2013/05/15 11:29:03 | 000,048,640 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\wwanprotdim.dll

[2013/05/15 11:28:58 | 000,735,232 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\msfeeds.dll

[2013/05/15 11:28:58 | 000,627,712 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\msfeeds.dll

[2013/05/15 11:28:58 | 000,247,808 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\ieui.dll

[2013/05/15 11:28:58 | 000,176,640 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\ieui.dll

[2013/05/15 11:28:58 | 000,134,144 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\url.dll

[2013/05/15 11:28:58 | 000,132,096 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\url.dll

[2013/05/15 11:28:58 | 000,097,792 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\mshtmled.dll

[2013/05/15 11:28:58 | 000,067,584 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\mshtmled.dll

[2013/05/09 13:29:35 | 000,000,000 | ---D | C] -- H:\Users\Markus\Documents\Star Wars - The Old Republic

[2013/05/08 02:12:29 | 005,631,312 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\D3DX9_40.dll

[2013/05/08 02:12:29 | 004,379,984 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\D3DX9_40.dll

[2013/05/08 02:12:29 | 002,605,920 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\D3DCompiler_40.dll

[2013/05/08 02:12:29 | 002,036,576 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\D3DCompiler_40.dll

[2013/05/08 02:12:29 | 000,519,000 | ---- | C] (Microsoft Corporation) -- H:\Windows\System32\d3dx10_40.dll

[2013/05/08 02:12:29 | 000,452,440 | ---- | C] (Microsoft Corporation) -- H:\Windows\SysWow64\d3dx10_40.dll

[2013/05/06 06:32:07 | 000,083,160 | ---- | C] (Avira GmbH) -- H:\Windows\System32\drivers\avnetflt.sys

[2013/05/03 07:46:53 | 000,000,000 | ---D | C] -- H:\Program Files (x86)\Common Files\Skype

[2 H:\Windows\SysWow64\*.tmp files -> H:\Windows\SysWow64\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2013/05/27 04:51:43 | 000,067,584 | --S- | M] () -- H:\Windows\bootstat.dat

[2013/05/27 04:50:18 | 2132,729,855 | -HS- | M] () -- H:\hiberfil.sys

[2013/05/26 04:16:15 | 000,022,496 | -H-- | M] () -- H:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

[2013/05/26 04:16:15 | 000,022,496 | -H-- | M] () -- H:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2013/05/26 04:16:00 | 000,000,884 | ---- | M] () -- H:\Windows\tasks\Adobe Flash Player Updater.job

[2013/05/26 03:43:37 | 000,664,618 | ---- | M] () -- H:\Windows\System32\perfh007.dat

[2013/05/26 03:43:37 | 000,624,800 | ---- | M] () -- H:\Windows\System32\perfh009.dat

[2013/05/26 03:43:37 | 000,134,786 | ---- | M] () -- H:\Windows\System32\perfc007.dat

[2013/05/26 03:43:37 | 000,110,438 | ---- | M] () -- H:\Windows\System32\perfc009.dat

[2013/05/26 01:16:58 | 000,602,112 | ---- | M] (OldTimer Tools) -- H:\Users\Markus\Desktop\OTL.exe

[2013/05/25 12:33:57 | 000,002,054 | ---- | M] () -- H:\Users\Markus\Desktop\System Care Antivirus.lnk

[2013/05/25 12:26:06 | 000,000,000 | ---- | M] () -- H:\Users\Markus\AppData\Roaming\SharedSettings.ccs

[2013/05/25 12:23:41 | 000,045,967 | ---- | M] () -- H:\Users\Markus\AppData\Local\vdxspnon

[2013/05/25 12:22:02 | 000,045,056 | ---- | M] () -- H:\Users\Markus\AppData\Local\saamobpo.exe

[2013/05/22 10:45:19 | 000,032,608 | ---- | M] () -- H:\Windows\king-uninstall.exe

[2013/05/22 01:10:42 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- H:\Windows\SysWow64\FlashPlayerApp.exe

[2013/05/22 01:10:42 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- H:\Windows\SysWow64\FlashPlayerCPLApp.cpl

[2013/05/16 02:37:00 | 000,002,441 | ---- | M] () -- H:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk

[2013/05/16 02:31:58 | 000,002,713 | ---- | M] () -- H:\Users\Public\Desktop\Nero StartSmart 10.lnk

[2013/05/16 02:30:06 | 000,002,679 | ---- | M] () -- H:\Users\Public\Desktop\Nero MediaHub 10.lnk

[2013/05/16 02:23:26 | 000,000,000 | ---D | M] -- H:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero

[2013/05/16 00:38:01 | 000,305,144 | ---- | M] () -- H:\Windows\System32\FNTCACHE.DAT

[2013/05/14 03:53:03 | 000,000,000 | ---D | M] -- H:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX Plus

[2013/05/14 03:51:49 | 000,000,000 | ---- | M] () -- H:\END

[2013/05/08 02:13:51 | 000,000,756 | ---- | M] () -- H:\Users\Markus\Desktop\Neverwinter.lnk

[2013/05/06 06:31:56 | 000,083,160 | ---- | M] (Avira GmbH) -- H:\Windows\System32\drivers\avnetflt.sys

[2013/05/02 17:00:09 | 000,011,090 | ---- | M] () -- H:\Users\Markus\Desktop\Mai 2013 BBV Langen.pdf

[2013/04/30 18:24:26 | 000,034,530 | ---- | M] () -- H:\Users\Markus\Desktop\swgMacro.rtf

[2013/04/28 00:53:25 | 001,614,946 | ---- | M] () -- H:\Users\Markus\Desktop\Indemap.png

[2 H:\Windows\SysWow64\*.tmp files -> H:\Windows\SysWow64\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2013/05/25 12:33:57 | 000,002,054 | ---- | C] () -- H:\Users\Markus\Desktop\System Care Antivirus.lnk

[2013/05/25 12:26:06 | 000,000,000 | ---- | C] () -- H:\Users\Markus\AppData\Roaming\SharedSettings.ccs

[2013/05/25 12:23:41 | 000,045,967 | ---- | C] () -- H:\Users\Markus\AppData\Local\vdxspnon

[2013/05/25 12:22:02 | 000,045,056 | ---- | C] () -- H:\Users\Markus\AppData\Local\saamobpo.exe

[2013/05/22 10:45:19 | 000,032,608 | ---- | C] () -- H:\Windows\king-uninstall.exe

[2013/05/16 02:31:58 | 000,002,713 | ---- | C] () -- H:\Users\Public\Desktop\Nero StartSmart 10.lnk

[2013/05/16 02:30:06 | 000,002,679 | ---- | C] () -- H:\Users\Public\Desktop\Nero MediaHub 10.lnk

[2013/05/14 03:51:49 | 000,000,000 | ---- | C] () -- H:\END

[2013/05/08 02:13:51 | 000,000,756 | ---- | C] () -- H:\Users\Markus\Desktop\Neverwinter.lnk

[2013/05/02 17:06:33 | 000,011,090 | ---- | C] () -- H:\Users\Markus\Desktop\Mai 2013 BBV Langen.pdf

[2013/04/28 00:53:25 | 001,614,946 | ---- | C] () -- H:\Users\Markus\Desktop\Indemap.png

[2012/07/16 00:44:58 | 002,469,760 | ---- | C] () -- H:\Windows\SysWow64\BootMan.exe

[2012/07/16 00:44:58 | 000,086,408 | ---- | C] () -- H:\Windows\SysWow64\setupempdrv03.exe

[2012/07/16 00:44:58 | 000,019,840 | ---- | C] () -- H:\Windows\SysWow64\EuEpmGdi.dll

[2012/07/16 00:44:58 | 000,014,216 | ---- | C] () -- H:\Windows\SysWow64\epmntdrv.sys

[2012/07/16 00:44:58 | 000,008,456 | ---- | C] () -- H:\Windows\SysWow64\EuGdiDrv.sys

[2011/11/23 12:07:47 | 000,000,036 | ---- | C] () -- H:\Windows\ezmacros.INI

[2011/11/23 12:07:32 | 000,000,505 | ---- | C] () -- H:\Windows\unezmac.ini

[2011/11/23 08:47:07 | 001,553,234 | ---- | C] () -- H:\Windows\SysWow64\PerfStringBackup.INI

[2011/11/22 14:29:14 | 000,041,751 | ---- | C] () -- H:\Windows\Ascd_log.ini

[2011/11/22 14:22:58 | 000,001,769 | ---- | C] () -- H:\Windows\Language_trs.ini

[2011/11/22 14:22:54 | 000,029,544 | ---- | C] () -- H:\Windows\Ascd_tmp.ini

[2010/11/20 23:24:49 | 000,252,928 | ---- | C] () -- H:\Windows\SysWow64\DShowRdpFilter.dll

[2009/07/14 01:38:36 | 000,067,584 | --S- | C] () -- H:\Windows\bootstat.dat

[2009/07/13 22:35:51 | 000,000,741 | ---- | C] () -- H:\Windows\SysWow64\NOISE.DAT

[2009/07/13 22:34:42 | 000,215,943 | ---- | C] () -- H:\Windows\SysWow64\dssec.dat

[2009/07/13 20:10:29 | 000,043,131 | ---- | C] () -- H:\Windows\mib.bin

[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- H:\Windows\SysWow64\BWContextHandler.dll

[2009/07/13 18:25:04 | 000,197,632 | ---- | C] () -- H:\Windows\SysWow64\ir32_32.dll

[2009/07/13 17:03:59 | 000,364,544 | ---- | C] () -- H:\Windows\SysWow64\msjetoledb40.dll

[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- H:\Windows\SysWow64\mlang.dat

[2009/04/02 08:30:14 | 000,010,296 | ---- | C] () -- H:\Windows\SysWow64\drivers\ASUSHWIO.SYS

 
 ========== LOP Check ==========

 

[2011/11/22 14:21:10 | 000,000,000 | -HSD | M] -- H:\ProgramData\Anwendungsdaten

[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- H:\ProgramData\Application Data

[2012/05/12 11:21:48 | 000,000,000 | ---D | M] -- H:\ProgramData\Battle.net

[2012/02/20 13:17:04 | 000,000,000 | ---D | M] -- H:\ProgramData\CCP

[2013/05/25 12:32:57 | 000,000,000 | ---D | M] -- H:\ProgramData\D6913FE8FE3590D50000D690695E96D7

[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- H:\ProgramData\Desktop

[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- H:\ProgramData\Documents

[2011/11/22 14:21:10 | 000,000,000 | -HSD | M] -- H:\ProgramData\Dokumente

[2011/11/22 14:21:10 | 000,000,000 | -HSD | M] -- H:\ProgramData\Favoriten

[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- H:\ProgramData\Favorites

[2012/07/02 08:12:22 | 000,000,000 | ---D | M] -- H:\ProgramData\MetaQuotes

[2012/08/14 01:51:59 | 000,000,000 | ---D | M] -- H:\ProgramData\PMB Files

[2012/06/26 02:17:28 | 000,000,000 | ---D | M] -- H:\ProgramData\Sony Online Entertainment

[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- H:\ProgramData\Start Menu

[2011/11/22 14:21:10 | 000,000,000 | -HSD | M] -- H:\ProgramData\Startmenü

[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- H:\ProgramData\Templates

[2012/08/04 21:36:48 | 000,000,000 | ---D | M] -- H:\ProgramData\TERA

[2011/11/22 14:21:10 | 000,000,000 | -HSD | M] -- H:\ProgramData\Vorlagen

[2013/05/03 07:26:58 | 000,032,640 | ---- | M] () -- H:\Windows\Tasks\SCHEDLGU.TXT

 
 ========== Purity Check ==========

 

 

< End of report >

--- --- ---

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTLpe

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL
 

O4:64bit: - HKLM..\Run: [boincmgr] File not found 

O4:64bit: - HKLM..\Run: [boinctray] File not found 

O4 - HKU\Markus_ON_H..\RunOnce: [D6913FE8FE3590D50000D690695E96D7] H:\ProgramData\D6913FE8FE3590D50000D690695E96D7\D6913FE8FE3590D50000D690695E96D7.exe () 

O4 - HKU\Markus_ON_H..\Run: [pkfjtrfg] H:\Users\Markus\AppData\Local\saamobpo.exe () 

[2013/05/25 12:29:26 | 000,000,000 | ---D | C] -- H:\ProgramData\D6913FE8FE3590D50000D690695E96D7 

[2013/05/25 12:22:02 | 000,045,056 | ---- | M] () -- H:\Users\Markus\AppData\Local\saamobpo.exe 

[2013/05/22 10:45:19 | 000,032,608 | ---- | M] () -- H:\Windows\king-uninstall.exe 

[2013/05/25 12:23:41 | 000,045,967 | ---- | M] () -- H:\Users\Markus\AppData\Local\vdxspnon 

[2013/05/25 12:33:57 | 000,000,000 | ---D | C] -- H:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus 

[2013/05/25 12:33:57 | 000,002,054 | ---- | M] () -- H:\Users\Markus\Desktop\System Care Antivirus.lnk 
 

:Files 
 

ipconfig /flushdns /c

:Commands

[emptytemp]

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

Dann normal starten,

2. Schritt
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Leider weiß ich nicht, was die "benutzerdefinierte Textbox" ist. In der letzten Stunde habe ich versucht, das in der Codebox gepostete Feld irgendwo in dem REATOGO-X-PE-desktop einzugeben, was mir leider nicht gelungen ist.
Ich habe ein Eingabefenster gefunden, das aussieht wie das RUN-Fensterchen, das man auch von der normalen Oberfläche kennt, in der REATOGO-X-PE-Obefläche hieß das "MBRFix" und durch Zufall konnte ich den Text (durch Rechtsklick) dort posten, was aber nur einen Strom Fehlermeldungen ergab.
Ich bitte um eine genaue Erklärung wo ich den Inhalt der Codebox nun eingeben soll, ich kenne mich leider mit REATOGO-X-PE-Desktop nicht aus, wie ich auch ansonsten kein Computerexperte bin.

Ok danke erstmal, da ich Nachtschichter bin und tagsüber schlafe, habe ich nur relativ kleine Zeitfenster um an der Bereinigung was zu machen, sorry wenns länger dauert mit Antworten deshalb.
Jedenfalls weiß ich erstmal was ich zu tun hab wenn ich morgen früh heimkomm:glaskugel:

So, hier also zuerstmal der Bericht vom OTLpe:

========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\boincmgr deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\boinctray deleted successfully.
Registry key HKEY_USERS\Markus_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
File H:\ProgramData\D6913FE8FE3590D50000D690695E96D7\D6913FE8FE3590D50000D690695E96D7.exe not found.
Registry key HKEY_USERS\Markus_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run not found.
File H:\Users\Markus\AppData\Local\saamobpo.exe not found.
Folder H:\ProgramData\D6913FE8FE3590D50000D690695E96D7\ not found.
File H:\Users\Markus\AppData\Local\saamobpo.exe not found.
File H:\Windows\king-uninstall.exe not found.
File H:\Users\Markus\AppData\Local\vdxspnon not found.
Folder H:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus\ not found.
File H:\Users\Markus\Desktop\System Care Antivirus.lnk not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
I:\cmd.bat deleted successfully.
I:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1618992 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 408290196 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

Total Files Cleaned = 391.00 mb

OTLPE by OldTimer - Version 3.1.48.0 log created on 05282013_121821

Nachtrag: Habe den befallen PC jetzt hochgefahren, um Malware AV runterzuladen, aber er hat immer noch unverändert den System-Care drauf, als wär gar nichts gewesen.
Habe wohl was falsch gemacht.

Nicht das mein Thread jetzt auf dem Abstellgleis landet, ist ja schon auf Seite 2

Durch den Neustart haben sich die Laufwerksbuchstaben geaendert, deshalb wirkte der Fix nicht.

Erstelle neue OTLPe Logs.

Das Problem war das ich immer Tastatur und Maus zwischen den Rechnern umstecken musste und irgendwie lief da was mit den Steuerprotokollen derselben(oder wie man sowas nennt) schief, ich musste immer den Rechner neustarten, ansonsten hing die Maus(beim infizierten ) und F8 drücken beim Neustart konnte ich auch nicht.
Hab jetzt eine Ersatzmaus ausgebuddelt und versuche, den infizierten anzulassen damit sich die Laufwerksnummer nicht mehr ändert.
Habe zum Übertragen des logs vom infizierten nach hier aber auch einen Speicherstick benutzt, vielleicht verändert der ja jedesmal die Laufwerksnummer.
Hab jetzt nochmal einen Scan mit dem OTLpe gemacht und dann den von dir geposteten Fix angewendet. Im Log des OTLpe hatte übrigens klar H: als Systemdrive gestanden, eigentlich müsste der Fix von dir auch gewirkt haben, hier jedenfalls das log:

========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\boincmgr deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\boinctray deleted successfully.
Registry key HKEY_USERS\Markus_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
H:\ProgramData\D6913FE8FE3590D50000D690695E96D7\D6913FE8FE3590D50000D690695E96D7.exe moved successfully.
Registry key HKEY_USERS\Markus_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run not found.
H:\Users\Markus\AppData\Local\saamobpo.exe moved successfully.
Folder H:\ProgramData\D6913FE8FE3590D50000D690695E96D7\ not found.
File H:\Users\Markus\AppData\Local\saamobpo.exe not found.
H:\Windows\king-uninstall.exe moved successfully.
H:\Users\Markus\AppData\Local\vdxspnon moved successfully.
H:\Users\Markus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus folder moved successfully.
H:\Users\Markus\Desktop\System Care Antivirus.lnk moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
H:\cmd.bat deleted successfully.
H:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes

Total Files Cleaned = 0.00 mb

OTLPE by OldTimer - Version 3.1.48.0 log created on 05282013_233742

Jetzt hat er gewirkt!

Neustarten und mit Schritt 2 weitermachen!
http://www.trojaner-board.de/135603-...ml#post1071079

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.28.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Markus :: MARKUS-PC [Administrator]

28/05/2013 18:31:30
MBAM-log-2013-05-28 (23-32-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 407162
Laufzeit: 35 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Markus\AppData\Local\Temp\Delivery_Information_ID-004588020234-Z31-1.zip (Trojan.Krypt) -> Keine Aktion durchgeführt.
C:\Users\Markus\AppData\Local\Temp\Delivery_Information_ID-004588020234-Z31.zip (Trojan.Krypt) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\05282013_233742\H_ProgramData\D6913FE8FE3590D50000D690695E96D7\D6913FE8FE3590D50000D690695E96D7.exe (Trojan.FakeAlert.ED) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\05282013_233742\H_Users\Markus\AppData\Local\saamobpo.exe (Trojan.Krypt) -> Keine Aktion durchgeführt.

(Ende)

=====================================================================================================

Und hier das Log vom AdwCleaner:AdwCleaner Logfile:

Code:

# AdwCleaner v2.301 - Datei am 28/05/2013 um 23:39:46 erstellt

# Aktualisiert am 16/05/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : Markus - MARKUS-PC

# Bootmodus : Normal

# Ausgeführt unter : E:\Downloads\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\END

Datei Gelöscht : C:\Users\Markus\AppData\Roaming\Mozilla\Firefox\Profiles\JonDoFox\Uninstall.exe

Ordner Gelöscht : C:\Users\Markus\AppData\LocalLow\boost_interprocess

Ordner Gelöscht : C:\Users\Markus\AppData\Roaming\dvdvideosoftiehelpers

Ordner Gelöscht : C:\Users\Markus\AppData\Roaming\Mozilla\Firefox\Profiles\uepz5cwg.default\CT1455043

Ordner Gelöscht : C:\Users\Markus\AppData\Roaming\Mozilla\Firefox\Profiles\uepz5cwg.default\extensions\{fb04e168-f6c8-4a55-9613-9a7549e4b148}

Ordner Gelöscht : C:\Users\Markus\AppData\Roaming\Mozilla\Firefox\Profiles\uepz5cwg.default\Smartbar
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit

Schlüssel Gelöscht : HKCU\Software\Conduit

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

Schlüssel Gelöscht : HKCU\Software\Softonic

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{acaa314b-eeba-48e4-ad47-84e31c44796c}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.7601.17514
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v21.0 (de)
 

Datei : C:\Users\Markus\AppData\Roaming\Mozilla\Firefox\Profiles\JonDoFox\prefs.js
 

Gelöscht : user_pref("pttl.menu-search-groups-tab", false);

Gelöscht : user_pref("pttl.menu-search-groups-win", false);
 

Datei : C:\Users\Markus\AppData\Roaming\Mozilla\Firefox\Profiles\uepz5cwg.default\prefs.js
 

Gelöscht : user_pref("1000034_Context", "{\"appId\":\"1000034\",\"context\":\"popup\",\"windowId\":\"1\",\"view[...]

Gelöscht : user_pref("128457517774912923_Context", "{\"appId\":\"128457517774912923\",\"context\":\"popup\",\"w[...]

Gelöscht : user_pref("128457517815381682_Context", "{\"appId\":\"128457517815381682\",\"context\":\"popup\",\"w[...]

Gelöscht : user_pref("128667485617438494_Context", "{\"appId\":\"128667485617438494\",\"viewId\":\"1\",\"frameT[...]

Gelöscht : user_pref("CT1455043.1000082.currentList", "[{\"stationId\":\"6906987\",\"url\":\"hxxp://lsd.newmedi[...]

Gelöscht : user_pref("CT1455043.1000082.isPlayDisplay", "true");

Gelöscht : user_pref("CT1455043.1000082.localStations", "[{\"stationId\":\"8546\",\"url\":\"hxxp://stream.radio[...]

Gelöscht : user_pref("CT1455043.1000082.nowPlaying", "{\"stationId\":\"6906987\",\"url\":\"hxxp://lsd.newmedia.[...]

Gelöscht : user_pref("CT1455043.1000082.publisherStations", "[{\"stationId\":\"6906987\",\"url\":\"hxxp://lsd.n[...]

Gelöscht : user_pref("CT1455043.1000082.state", "{\"state\":\"stopped\",\"text\":\"NDR 2\",\"description\":\"ND[...]

Gelöscht : user_pref("CT1455043.1000234.TWC_TMP_city", "");

Gelöscht : user_pref("CT1455043.1000234.TWC_TMP_country", "DE");

Gelöscht : user_pref("CT1455043.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");

Gelöscht : user_pref("CT1455043.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]

Gelöscht : user_pref("CT1455043.enableAlerts", "never");

Gelöscht : user_pref("CT1455043.firstTimeDialogOpened", "{\"dataType\":\"boolean\",\"data\":\"true\"}");

Gelöscht : user_pref("CT1455043.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");

Gelöscht : user_pref("CT1455043.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");

Gelöscht : user_pref("CT1455043.isWelcomPage", "{\"dataType\":\"boolean\",\"data\":\"true\"}");

Gelöscht : user_pref("CT1455043.search.searchAppId", "128457517514131349");

Gelöscht : user_pref("CT1455043.search.searchCount", "2");

Gelöscht : user_pref("CT1455043.searchProtector.notifyChanges", "{\"dataType\":\"string\",\"data\":\"true\"}");

Gelöscht : user_pref("CT1455043.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]

Gelöscht : user_pref("CT1455043.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]

Gelöscht : user_pref("CT1455043.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]

Gelöscht : user_pref("CT1455043.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]

Gelöscht : user_pref("CT1455043.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]

Gelöscht : user_pref("CT1455043.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]

Gelöscht : user_pref("CT1455043.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1327763841883");

Gelöscht : user_pref("CT1455043.serviceLayer_services_appTracking_lastUpdate", "1327763843383");

Gelöscht : user_pref("CT1455043.serviceLayer_services_appsMetadata_lastUpdate", "1328371709142");

Gelöscht : user_pref("CT1455043.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1328080760955");

Gelöscht : user_pref("CT1455043.serviceLayer_services_login_10.5.0.42_lastUpdate", "1328371691861");

Gelöscht : user_pref("CT1455043.serviceLayer_services_login_lastUpdate", "1323188506864");

Gelöscht : user_pref("CT1455043.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1328080760972");

Gelöscht : user_pref("CT1455043.serviceLayer_services_serviceMap_lastUpdate", "1328371708688");

Gelöscht : user_pref("CT1455043.serviceLayer_services_toolbarContextMenu_lastUpdate", "1328080760924");

Gelöscht : user_pref("CT1455043.serviceLayer_services_toolbarSettings_lastUpdate", "1328378893297");

Gelöscht : user_pref("CT1455043.serviceLayer_services_translation_lastUpdate", "1328371708775");

Gelöscht : user_pref("CT1455043.smartbar.CTID", "CT1455043");

Gelöscht : user_pref("CT1455043.smartbar.Uninstall", "0");

Gelöscht : user_pref("CT1455043.smartbar.isHidden", true);

Gelöscht : user_pref("CT1455043.smartbar.toolbarName", "PINEWS ");

Gelöscht : user_pref("CT1455043.smartbar.userID", "UN06966104509888515");

Gelöscht : user_pref("CT1455043.toolbarBornServerTime", "23-11-2011");
 

*************************
 

AdwCleaner[S1].txt - [7012 octets] - [28/05/2013 23:39:46]
 

########## EOF - C:\AdwCleaner[S1].txt - [7072 octets] ##########

--- --- ---

Sehr gut! :daumenhoc

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-30 06:22:04
-----------------------------
06:22:04.399 OS Version: Windows x64 6.1.7601 Service Pack 1
06:22:04.399 Number of processors: 4 586 0x2A07
06:22:04.399 ComputerName: MARKUS-PC UserName: Markus
06:22:05.460 Initialize success
06:22:44.637 AVAST engine defs: 13052901
06:23:21.657 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
06:23:21.661 Disk 0 Vendor: ST31000524AS JC4B Size: 953869MB BusType: 3
06:23:21.743 Disk 0 MBR read successfully
06:23:21.745 Disk 0 MBR scan
06:23:21.752 Disk 0 Windows 7 default MBR code
06:23:21.757 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
06:23:21.764 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 168087 MB offset 206848
06:23:21.787 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 480000 MB offset 344459144
06:23:21.812 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 305666 MB offset 1327515208
06:23:21.845 Disk 0 scanning C:\Windows\system32\drivers
06:23:33.824 Service scanning
06:24:00.129 Modules scanning
06:24:00.133 Disk 0 trace - called modules:
06:24:00.466 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys
06:24:00.469 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80077b5060]
06:24:00.472 3 CLASSPNP.SYS[fffff8800196943f] -> nt!IofCallDriver -> [0xfffffa800718b580]
06:24:00.474 5 ACPI.sys[fffff88000f287a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa800718d060]
06:24:01.109 AVAST engine scan C:\Windows
06:24:03.188 AVAST engine scan C:\Windows\system32
06:27:11.295 AVAST engine scan C:\Windows\system32\drivers
06:27:25.350 AVAST engine scan C:\Users\Markus
06:30:01.264 AVAST engine scan C:\ProgramData
06:31:16.900 Scan finished successfully
06:31:39.396 Disk 0 MBR has been saved successfully to "C:\Users\Markus\Desktop\MBR.dat"
06:31:39.396 The log file has been saved successfully to "C:\Users\Markus\Desktop\aswMBR.txt"

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4819478fc882394ea38c34f96e77e773
# engine=13949
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-30 06:17:04
# local_time=2013-05-30 08:17:04 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 6693 235314314 0 0
# compatibility_mode=5893 16776573 100 94 51442 121524474 0 0
# scanned=169958
# found=0
# cleaned=0
# scan_time=5828

Results of screen317's Security Check version 0.99.63
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 8 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java(TM) 6 Update 22
Java 7 Update 21
Adobe Flash Player 11.7.700.202
Adobe Reader 10.1.7 Adobe Reader out of Date!
Mozilla Firefox (21.0)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Alles Windows Updates einspielen, inkl. Internet Explorer!
http://windowsupdate.microsoft.com

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 21.0 ist aktuell

Flash (11,7,700,202) ist aktuell.

Java (1,7,0,21) ist aktuell.

Adobe Reader 11,0,3,37 ist aktuell.