Hallo Trojaner-Board Team,

heute wars mal wieder Zeit mein System zu durchsuchen.
Der Suchlauf mit Avira hat nichts gefunden.
Danach hab ich mit Malwarebytes Anti-Malware einen Quick Scan durchgeführt wobei fünf mal die Adware.DomaIQ gefunden und in Quarantäne gestellt wurde. Ausserdem wurde die dp.exe entdeckt (PUP.DealPly), zu der ich nicht genaueres heraus gefunden habe.

Hier das Logfile vom Quick Scan:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.20.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
***** :: ***** [Administrator]

20.07.2013 17:03:28
mbam-log-2013-07-20 (17-03-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223341
Laufzeit: 6 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\***\AppData\Local\Temp\dp.exe (PUP.DealPly) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\9Suq_kzp.exe.part (Adware.DomaIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\DIQM\audacity_027\DomaIQ.exe (Adware.DomaIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\DIQM\audacity_027\DomaIQ10.exe (Adware.DomaIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\DIQM\audacity_027\exes.zip (Adware.DomaIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\DIQM\Format-Factory_027\Format-Factory.exe (Adware.DomaIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Zur Sicherheit hab ich dann nach dem Neustart noch einen vollständigen Suchlauf gemacht.
Dabei tauchte wieder die PUP.DealPly auf, da mit dieser vorher nichts passiert ist wie ich danach bemerkte. Also wurde die auch noch in Quarantäne gestellt.

Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.20.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
***** :: ***** [Administrator]

20.07.2013 17:27:24
mbam-log-2013-07-20 (17-27-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 417719
Laufzeit: 56 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\***\AppData\Local\Temp\dp.exe (PUP.DealPly) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Jetzt ist alles in Quarantäne getellt aber muss ich deshalb noch was machen wie z.B. adwCleaner durch laufen lassen?

mfg. _Bytes_

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Danke für die schnelle Hilfe!

Hier sind die beiden Logs von FRST:

FRST Logfile:

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-07-2013
Ran by ***** (administrator) on 20-07-2013 21:48:16
Running from C:\Users\*****\Desktop
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(AMD) C:\Windows\system32\atiesrxx.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Microsoft Corporation) C:\Windows\SysWOW64\svchost.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(Hi-Rez Studios) C:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
(Microsoft Corporation) C:\Windows\system32\WLANExt.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11619432 2010-11-26] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] - C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [2185832 2010-11-26] (Realtek Semiconductor)
HKLM\...\Run: [Logitech Download Assistant] - C:\Windows\system32\rundll32.exe [45568 2009-07-14] (Microsoft Corporation)
HKCU\...\Run: [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe [1475584 2010-11-20] (Microsoft Corporation)
HKLM-x32\...\Run: [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-10-03] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [AMD AVT] - Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml [20992 2012-03-19] ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Handler-x32: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] ***.***.*.***

FireFox:
========
FF ProfilePath: C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\s81d56uo.default
FF user.js: detected! => C:\Users\*****\AppData\Roaming\Mozilla\Firefox\Profiles\s81d56uo.default\user.js
FF Homepage: hxxp://www.t-online.de/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_224.dll ()
FF Plugin: @java.com/DTPlugin,version=10.21.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.21.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin-x32: @ngm.nexoneu.com/NxGame - C:\ProgramData\NexonEU\NGM\npNxGameeu.dll (Nexon)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Extension: Default - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

Chrome: 
=======
CHR Extension: (YouTube) - C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0
CHR Extension: (Google Search) - C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0
CHR Extension: (Gmail) - C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0

==================== Services (Whitelisted) =================

R2 Akamai; c:\program files (x86)\common files\akamai/netsession_win_8fa3539.dll [4569856 2013-07-01] (Akamai Technologies, Inc.)
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [86224 2012-10-03] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [110032 2012-10-03] (Avira Operations GmbH & Co. KG)
S3 BEService; C:\Program Files (x86)\Common Files\BattlEye\BEService.exe [49152 2013-07-11] ()

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [98848 2012-10-03] (Avira GmbH)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132832 2012-10-03] (Avira GmbH)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [27760 2011-12-15] (Avira GmbH)
R3 L1C; C:\Windows\System32\DRIVERS\L1C60x64.sys [75888 2010-09-27] (Atheros Communications, Inc.)
S3 Serial; C:\Windows\system32\DRIVERS\serial.sys [94208 2009-07-14] (Brother Industries Ltd.)
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x]
S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [x]
S3 X6va012; \??\C:\Windows\SysWOW64\Drivers\X6va012 [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-20 21:47 - 2013-07-20 21:47 - 00000000 ____D C:\FRST
2013-07-20 21:46 - 2013-07-20 21:46 - 01779345 _____ (Farbar) C:\Users\*****\Desktop\FRST64.exe
2013-07-19 16:36 - 2013-07-19 16:36 - 00337366 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_36_16.408283.dmp
2013-07-19 16:35 - 2013-07-19 16:35 - 00363542 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_35_25.501163.dmp
2013-07-19 16:34 - 2013-07-19 16:34 - 00336462 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_34_09.849227.dmp
2013-07-19 16:32 - 2013-07-19 16:33 - 00323038 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_32_59.979604.dmp
2013-07-19 16:29 - 2013-07-19 16:29 - 00335086 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_29_09.159207.dmp
2013-07-18 21:48 - 2013-07-18 21:48 - 00356814 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_48_46.940509.dmp
2013-07-18 21:47 - 2013-07-18 21:47 - 00363670 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_47_34.525107.dmp
2013-07-18 21:46 - 2013-07-18 21:46 - 00333350 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_46_20.073830.dmp
2013-07-18 21:44 - 2013-07-18 21:44 - 00304014 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_44_37.509160.dmp
2013-07-18 19:47 - 2013-07-18 19:47 - 00317918 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 19_47_38.266944.dmp
2013-07-18 19:45 - 2013-07-18 19:45 - 00315686 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 19_45_35.695246.dmp
2013-07-15 19:46 - 2013-07-15 19:46 - 00007941 _____ C:\Users\*****\AppData\Local\recently-used.xbel
2013-07-13 20:05 - 2013-07-14 10:33 - 00000000 ____D C:\Users\*****\AppData\Roaming\Blockscape
2013-07-03 21:32 - 2013-07-03 21:32 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-06-29 23:19 - 2013-06-29 23:20 - 00000000 ____D C:\Users\*****\AppData\Local\Adobe
2013-06-24 16:53 - 2013-07-18 22:01 - 00000265 _____ C:\Users\*****\Desktop\Präsentation.txt
2013-06-24 16:33 - 2013-06-24 16:33 - 00000000 ____D C:\Users\*****\AppData\Roaming\OpenOffice.org
2013-06-21 22:16 - 2013-06-21 22:16 - 02473959 _____ (                                                            ) C:\Users\*****\Downloads\blobby2-win32-1.0rc3-installer.exe

==================== One Month Modified Files and Folders =======

2013-07-20 21:47 - 2013-07-20 21:47 - 00000000 ____D C:\FRST
2013-07-20 21:46 - 2013-07-20 21:46 - 01779345 _____ (Farbar) C:\Users\*****\Desktop\FRST64.exe
2013-07-20 19:13 - 2009-07-14 06:51 - 00074419 _____ C:\Windows\setupact.log
2013-07-20 18:35 - 2009-07-14 06:45 - 00014928 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-20 18:35 - 2009-07-14 06:45 - 00014928 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-20 18:32 - 2009-07-14 19:58 - 00696870 _____ C:\Windows\system32\perfh007.dat
2013-07-20 18:32 - 2009-07-14 19:58 - 00148134 _____ C:\Windows\system32\perfc007.dat
2013-07-20 18:32 - 2009-07-14 07:13 - 01612484 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-20 18:31 - 2012-10-02 17:58 - 01885387 _____ C:\Windows\WindowsUpdate.log
2013-07-20 18:27 - 2012-10-02 19:21 - 01521256 _____ C:\Windows\PFRO.log
2013-07-20 18:27 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-20 01:11 - 2012-10-02 19:07 - 00000000 ____D C:\Users\*****\AppData\Roaming\TS3Client
2013-07-20 00:32 - 2013-02-21 18:31 - 00000000 ____D C:\Users\*****\AppData\Local\ArmA 2 OA
2013-07-19 16:36 - 2013-07-19 16:36 - 00337366 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_36_16.408283.dmp
2013-07-19 16:35 - 2013-07-19 16:35 - 00363542 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_35_25.501163.dmp
2013-07-19 16:34 - 2013-07-19 16:34 - 00336462 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_34_09.849227.dmp
2013-07-19 16:33 - 2013-07-19 16:32 - 00323038 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_32_59.979604.dmp
2013-07-19 16:29 - 2013-07-19 16:29 - 00335086 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-19 16_29_09.159207.dmp
2013-07-18 22:01 - 2013-06-24 16:53 - 00000265 _____ C:\Users\*****\Desktop\Präsentation.txt
2013-07-18 21:48 - 2013-07-18 21:48 - 00356814 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_48_46.940509.dmp
2013-07-18 21:47 - 2013-07-18 21:47 - 00363670 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_47_34.525107.dmp
2013-07-18 21:46 - 2013-07-18 21:46 - 00333350 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_46_20.073830.dmp
2013-07-18 21:44 - 2013-07-18 21:44 - 00304014 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 21_44_37.509160.dmp
2013-07-18 19:47 - 2013-07-18 19:47 - 00317918 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 19_47_38.266944.dmp
2013-07-18 19:45 - 2013-07-18 19:45 - 00315686 _____ C:\Users\*****\Documents\ts3_clientui-win64-1365064384-2013-07-18 19_45_35.695246.dmp
2013-07-15 19:46 - 2013-07-15 19:46 - 00007941 _____ C:\Users\*****\AppData\Local\recently-used.xbel
2013-07-15 19:46 - 2012-12-27 10:32 - 00000000 ____D C:\Users\*****\.gimp-2.8
2013-07-14 10:33 - 2013-07-13 20:05 - 00000000 ____D C:\Users\*****\AppData\Roaming\Blockscape
2013-07-12 22:04 - 2013-06-03 19:35 - 00000000 ____D C:\Fraps
2013-07-08 19:17 - 2012-10-02 19:06 - 00000000 ____D C:\Users\*****\AppData\Local\TeamSpeak 3 Client
2013-07-06 17:21 - 2013-02-20 18:04 - 00000000 ____D C:\Program Files\eclipse
2013-07-06 17:21 - 2013-02-19 18:13 - 00000000 ____D C:\Users\*****\AppData\Local\Eclipse
2013-07-05 17:09 - 2013-02-09 20:07 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-07-04 19:44 - 2009-07-14 06:45 - 00418624 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-03 21:52 - 2012-12-11 16:02 - 00000000 ____D C:\Users\*****\AppData\Roaming\Skype
2013-07-03 21:32 - 2013-07-03 21:32 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-07-03 19:32 - 2012-10-02 19:27 - 00108832 _____ C:\Users\*****\AppData\Local\GDIPFONTCACHEV1.DAT
2013-06-29 23:20 - 2013-06-29 23:19 - 00000000 ____D C:\Users\*****\AppData\Local\Adobe
2013-06-29 23:20 - 2012-10-03 13:54 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-29 23:20 - 2012-10-03 13:54 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-25 17:31 - 2012-10-02 18:02 - 00000000 ____D C:\Users\*****
2013-06-24 20:43 - 2012-10-02 18:03 - 00000000 ___RD C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2013-06-24 16:33 - 2013-06-24 16:33 - 00000000 ____D C:\Users\*****\AppData\Roaming\OpenOffice.org
2013-06-21 22:17 - 2012-10-02 18:03 - 00000000 ____D C:\Users\*****\AppData\Local\VirtualStore
2013-06-21 22:16 - 2013-06-21 22:16 - 02473959 _____ (                                                            ) C:\Users\*****\Downloads\blobby2-win32-1.0rc3-installer.exe

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-06-25 15:18

==================== End Of Log ============================
         

--- --- ---




Und hier die Addition.txt:

Code: Alles auswählenAufklappen

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 19-07-2013
Ran by ***** at 2013-07-20 21:49:22
Running from C:\Users\*****\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

   
Acer Crystal Eye Webcam (x32 Version: 1.0.1424)
Adobe Flash Player 11 ActiveX (x32 Version: 11.4.402.278)
Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224)
Akamai NetSession Interface (HKCU)
Akamai NetSession Interface (x32)
AMD Accelerated Video Transcoding (Version: 2.00.0002)
AMD APP SDK Runtime (Version: 10.0.938.1)
AMD Catalyst Install Manager (Version: 8.0.881.0)
AMD Drag and Drop Transcoding (Version: 2.00.0000)
AMD Media Foundation Decoders (Version: 1.0.70611.1329)
ARMA 2 Operation Arrowhead Uninstall (x32)
ArmA 2 Uninstall (x32)
Avira Free Antivirus (x32 Version: 12.1.9.2400)
BattlEye for OA Uninstall (x32)
BattlEye Uninstall (x32)
Catalyst Control Center - Branding (x32 Version: 1.00.0000)
Catalyst Control Center (x32 Version: 2012.0611.1251.21046)
Catalyst Control Center Graphics Previews Common (x32 Version: 2012.0611.1251.21046)
Catalyst Control Center InstallProxy (x32 Version: 2012.0611.1251.21046)
Catalyst Control Center Localization All (x32 Version: 2012.0611.1251.21046)
CCC Help Chinese Standard (x32 Version: 2012.0611.1250.21046)
CCC Help Chinese Traditional (x32 Version: 2012.0611.1250.21046)
CCC Help Czech (x32 Version: 2012.0611.1250.21046)
CCC Help Danish (x32 Version: 2012.0611.1250.21046)
CCC Help Dutch (x32 Version: 2012.0611.1250.21046)
CCC Help English (x32 Version: 2012.0611.1250.21046)
CCC Help Finnish (x32 Version: 2012.0611.1250.21046)
CCC Help French (x32 Version: 2012.0611.1250.21046)
CCC Help German (x32 Version: 2012.0611.1250.21046)
CCC Help Greek (x32 Version: 2012.0611.1250.21046)
CCC Help Hungarian (x32 Version: 2012.0611.1250.21046)
CCC Help Italian (x32 Version: 2012.0611.1250.21046)
CCC Help Japanese (x32 Version: 2012.0611.1250.21046)
CCC Help Korean (x32 Version: 2012.0611.1250.21046)
CCC Help Norwegian (x32 Version: 2012.0611.1250.21046)
CCC Help Polish (x32 Version: 2012.0611.1250.21046)
CCC Help Portuguese (x32 Version: 2012.0611.1250.21046)
CCC Help Russian (x32 Version: 2012.0611.1250.21046)
CCC Help Spanish (x32 Version: 2012.0611.1250.21046)
CCC Help Swedish (x32 Version: 2012.0611.1250.21046)
CCC Help Thai (x32 Version: 2012.0611.1250.21046)
CCC Help Turkish (x32 Version: 2012.0611.1250.21046)
ccc-utility64 (Version: 2012.0611.1251.21046)
Combat Arms EU (x32)
Crossfire Europe (x32 Version: 1.100)
DayZ Commander (x32 Version: 0.91.4)
EPSON Scan (x32)
FileZilla Client 3.6.0.2 (x32 Version: 3.6.0.2)
GIMP 2.8.2 (Version: 2.8.2)
Hi-Rez Studios Authenticate and Update Service (x32 Version: 3.0.0.0)
Java 7 Update 21 (64-bit) (Version: 7.0.210)
Java 7 Update 21 (x32 Version: 7.0.210)
Java Auto Updater (x32 Version: 2.1.9.5)
Java SE Development Kit 7 Update 21 (64-bit) (Version: 1.7.0.210)
Malwarebytes Anti-Malware Version 1.75.0.1300 (x32 Version: 1.75.0.1300)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended (Version: 4.0.30319)
Microsoft .NET Framework 4 Extended DEU Language Pack (Version: 4.0.30319)
Microsoft Office 2007 Service Pack 3 (SP3) (x32)
Microsoft Office Access MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Enterprise 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Excel MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Groove MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office InfoPath MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Office 64-bit Components 2007 (Version: 12.0.6612.1000)
Microsoft Office OneNote MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Outlook MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office PowerPoint MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Proof (English) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Proof (French) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Proof (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Proof (Italian) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Proofing (German) 2007 (x32 Version: 12.0.4518.1014)
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) (x32)
Microsoft Office Publisher MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Shared 64-bit MUI (German) 2007 (Version: 12.0.6612.1000)
Microsoft Office Shared MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Office Word MUI (German) 2007 (x32 Version: 12.0.6612.1000)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.59193)
Microsoft Visual C++ 2005 Redistributable (x32 Version: 8.0.61001)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (x32 Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319 (Version: 10.0.30319)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219)
Microsoft XNA Framework Redistributable 4.0 (x32 Version: 4.0.20823.0)
Microsoft XNA Framework Redistributable 4.0 Refresh (x32 Version: 4.0.30901.0)
Mozilla Firefox 22.0 (x86 de) (x32 Version: 22.0)
Mozilla Maintenance Service (x32 Version: 22.0)
MSXML 4.0 SP2 (KB954430) (x32 Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (x32 Version: 4.20.9876.0)
MSXML 4.0 SP2 Parser und SDK (x32 Version: 4.20.9818.0)
nder (Version: 2.65a-release)
Nexon Game Manager (x32)
Pando Media Booster (x32 Version: 2.6.0.8)
PlanetSide 2 (HKCU Version: 1.0.3.183)
Play withSIX (x32 Version: 1.30.0450)
Realtek High Definition Audio Driver (x32 Version: 6.0.1.6254)
S4 League_EU (x32 Version: 1.00.0000)
Skype™ 6.3 (x32 Version: 6.3.107)
TeamSpeak 3 Client (HKCU Version: 3.0.10.1)
Tribes Ascend (x32 Version: 1.0.1268.1)
Update for 2007 Microsoft Office System (KB967642) (x32)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2468871) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2533523) (x32 Version: 1)
Update for Microsoft .NET Framework 4 Extended (KB2600217) (x32 Version: 1)
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition (x32)
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2767848) 32-Bit Edition (x32)
Update für Microsoft Office Excel 2007 Help (KB963678) (x32)
Update für Microsoft Office Outlook 2007 Help (KB963677) (x32)
Update für Microsoft Office Powerpoint 2007 Help (KB963669) (x32)
Update für Microsoft Office Word 2007 Help (KB963665) (x32)
Windows Movie Maker 2.6 (x32 Version: 2.6.4037.0)
WinRAR 4.20 (32-Bit) (x32 Version: 4.20.0)

==================== Restore Points  =========================

14-07-2013 08:13:27 DirectX wurde installiert
14-07-2013 08:14:18 DirectX wurde installiert

==================== Hosts content: ==========================

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {66EA4B9F-5A6E-43E2-9103-239123022D00} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe [2010-11-20] (Microsoft Corporation)
Task: {BF422264-8AB1-43AB-910C-DEF11370F253} - System32\Tasks\{B1691AB4-3105-442D-A5AC-5535FE8E577C} => c:\program files (x86)\mozilla firefox\firefox.exe [2013-07-03] (Mozilla Corporation)
Task: {D5D58022-81C7-4495-AF07-A58BE5B8D61C} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => c:\program files\windows defender\MpCmdRun.exe [2009-07-14] (Microsoft Corporation)

==================== Faulty Device Manager Devices =============

Name: 1.3M HD WebCam
Description: USB-Videogerät
Class Guid: {6bdd1fc6-810f-11d0-bec7-08002be2092f}
Manufacturer: Microsoft
Service: usbvideo
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (07/20/2013 08:20:23 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: firefox.exe, Version: 22.0.0.4917, Zeitstempel: 0x51c06b1b
Name des fehlerhaften Moduls: xul.dll, Version: 22.0.0.4917, Zeitstempel: 0x51c06a5b
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00173668
ID des fehlerhaften Prozesses: 0x298
Startzeit der fehlerhaften Anwendung: 0xfirefox.exe0
Pfad der fehlerhaften Anwendung: firefox.exe1
Pfad des fehlerhaften Moduls: firefox.exe2
Berichtskennung: firefox.exe3

Error: (07/19/2013 10:17:07 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: firefox.exe, Version: 22.0.0.4917, Zeitstempel: 0x51c06b1b
Name des fehlerhaften Moduls: xul.dll, Version: 22.0.0.4917, Zeitstempel: 0x51c06a5b
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00173668
ID des fehlerhaften Prozesses: 0x40c
Startzeit der fehlerhaften Anwendung: 0xfirefox.exe0
Pfad der fehlerhaften Anwendung: firefox.exe1
Pfad des fehlerhaften Moduls: firefox.exe2
Berichtskennung: firefox.exe3

Error: (07/19/2013 01:50:05 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: firefox.exe, Version: 22.0.0.4917, Zeitstempel: 0x51c06b1b
Name des fehlerhaften Moduls: xul.dll, Version: 22.0.0.4917, Zeitstempel: 0x51c06a5b
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00173668
ID des fehlerhaften Prozesses: 0xd54
Startzeit der fehlerhaften Anwendung: 0xfirefox.exe0
Pfad der fehlerhaften Anwendung: firefox.exe1
Pfad des fehlerhaften Moduls: firefox.exe2
Berichtskennung: firefox.exe3

Error: (07/16/2013 07:06:50 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: firefox.exe, Version: 22.0.0.4917, Zeitstempel: 0x51c06b1b
Name des fehlerhaften Moduls: xul.dll, Version: 22.0.0.4917, Zeitstempel: 0x51c06a5b
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00173668
ID des fehlerhaften Prozesses: 0x1208
Startzeit der fehlerhaften Anwendung: 0xfirefox.exe0
Pfad der fehlerhaften Anwendung: firefox.exe1
Pfad des fehlerhaften Moduls: firefox.exe2
Berichtskennung: firefox.exe3

Error: (07/07/2013 01:10:30 AM) (Source: Application Hang) (User: )
Description: Programm gimp-2.8.exe, Version 2.8.2.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 1758

Startzeit: 01ce7a9deec0c916

Endzeit: 10

Anwendungspfad: C:\Program Files\GIMP 2\bin\gimp-2.8.exe

Berichts-ID: 3dfbb814-e691-11e2-bec4-dc0ea10dd45d

Error: (07/06/2013 07:57:33 PM) (Source: Application Hang) (User: )
Description: Programm WinRAR.exe, Version 4.20.0.0 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 1288

Startzeit: 01ce7a722b2402e9

Endzeit: 10

Anwendungspfad: C:\Program Files (x86)\WinRAR\WinRAR.exe

Berichts-ID: 86b3fe28-e665-11e2-bec4-dc0ea10dd45d

Error: (07/05/2013 06:11:47 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest2" in Zeile C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.

Error: (07/04/2013 09:33:31 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: TribesAscend.exe, Version: 1.0.1268.1, Zeitstempel: 0x5137c5a5
Name des fehlerhaften Moduls: TribesAscend.exe, Version: 1.0.1268.1, Zeitstempel: 0x5137c5a5
Ausnahmecode: 0xc0000005
Fehleroffset: 0x001e8593
ID des fehlerhaften Prozesses: 0x12ec
Startzeit der fehlerhaften Anwendung: 0xTribesAscend.exe0
Pfad der fehlerhaften Anwendung: TribesAscend.exe1
Pfad des fehlerhaften Moduls: TribesAscend.exe2
Berichtskennung: TribesAscend.exe3

Error: (07/03/2013 07:32:15 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest2" in Zeile C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.

Error: (06/25/2013 05:24:12 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest1". Fehler in
Manifest- oder Richtliniendatei "C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest2" in Zeile C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit
einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\Windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2.manifest.
Komponente 2: C:\Windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac.manifest.


System errors:
=============
Error: (06/25/2013 03:24:14 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.

Error: (06/22/2013 10:51:37 PM) (Source: DCOM) (User: )
Description: {995C996E-D918-4A8C-A302-45719A6F4EA7}

Error: (06/15/2013 00:32:10 AM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎15.‎06.‎2013 um 00:31:30 unerwartet heruntergefahren.

Error: (06/09/2013 08:05:54 PM) (Source: BTHUSB) (User: )
Description: Die beiderseitige Authentifizierung zwischen dem lokalen Bluetooth-Adapter und einem Gerät mit Bluetooth-Adapteradresse (fa:1f:0b:6b:19:05) ist fehlgeschlagen.

Error: (06/08/2013 09:51:24 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎08.‎06.‎2013 um 21:50:33 unerwartet heruntergefahren.

Error: (06/08/2013 08:38:45 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎08.‎06.‎2013 um 20:37:39 unerwartet heruntergefahren.

Error: (06/08/2013 06:52:21 PM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎08.‎06.‎2013 um 18:51:30 unerwartet heruntergefahren.

Error: (06/08/2013 03:23:20 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows Update" wurde mit folgendem Fehler beendet: 
%%-2147467243

Error: (06/08/2013 03:20:19 AM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎08.‎06.‎2013 um 03:19:26 unerwartet heruntergefahren.

Error: (06/08/2013 03:08:39 AM) (Source: EventLog) (User: )
Description: Das System wurde zuvor am ‎08.‎06.‎2013 um 03:07:34 unerwartet heruntergefahren.


Microsoft Office Sessions:
=========================

==================== Memory info =========================== 

Percentage of memory in use: 18%
Total physical RAM: 8173.86 MB
Available physical RAM: 6679.69 MB
Total Pagefile: 16345.91 MB
Available Pagefile: 14736.12 MB
Total Virtual: 8192 MB
Available Virtual: 8191.81 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:107.41 GB) (Free:8.24 GB) NTFS (Disk=0 Partition=3)
Drive d: () (Fixed) (Total:149.9 GB) (Free:145.97 GB) NTFS (Disk=0 Partition=4)
Drive e: () (Fixed) (Total:192.35 GB) (Free:192.26 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: EBB638F0)
Partition 1: (Not Active) - (Size=16 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=107 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=342 GB) - (Type=OF Extended)

==================== End Of Log ============================
         

Hoffe es ist diesmal nichts allzu schlimmes
Nochmal danke für die schnelle Hilfe

mfg. _Bytes_

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

*** Wieder in Benutzernamen umwandeln!

Code: Alles auswählenAufklappen

ATTFilter

HKLM\...\Run: [Logitech Download Assistant] - C:\Windows\system32\rundll32.exe [45568 2009-07-14] (Microsoft Corporation) 
2013-06-24 20:43 - 2012-10-02 18:03 - 00000000 ___RD C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

dann:
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



dann:
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Also habe den Text kopiert,*** mit Benutzername ersetzt und als Fixlist.txt abgespeichert.
Habe dann im ausgegebenen Logfile wieder den Benutzernamen entfernt, wenn das in Ordnung ist.

Fixlog.txt:

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-07-2013
Ran by *** at 2013-07-21 17:46:44 Run:1
Running from C:\Users\***\Desktop
Boot Mode: Normal
==============================================

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Logitech Download Assistant => Value deleted successfully.
C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup => Moved successfully.

==== End of Fixlog ====
         

Mbar wurde aktualisiert. Nach dem Scan war kein CleanUp nötig.
Hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.06.0.1004
www.malwarebytes.org

Database version: v2013.07.21.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: *** [administrator]

21.07.2013 17:53:34
mbar-log-2013-07-21 (17-53-34).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 237186
Time elapsed: 28 minute(s), 40 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         

Nach dem Scan mit adwCleaner wurde der PC einmal neu gestartet. Was dabei gelöscht wurde steht ja im Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.306 - Datei am 21/07/2013 um 18:33:51 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : *** - ***
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\Tarma Installer

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899}
Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\s81d56uo.default\prefs.js

C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\s81d56uo.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1568 octets] - [21/07/2013 18:33:51]

########## EOF - C:\AdwCleaner[S1].txt - [1628 octets] ##########
         

mfg. _Bytes_

Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

So bin heute erst später nach Hause gekommen also bin ich mit dem Post auch etwas später dran.

Also als erstes aswMBR funktionierte ohne Probleme.
Hier ist das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-07-22 18:27:03
-----------------------------
18:27:03.025    OS Version: Windows x64 6.1.7601 Service Pack 1
18:27:03.025    Number of processors: 4 586 0x2A07
18:27:03.025    ComputerName: FABIANPC  UserName: 
18:27:03.475    Initialize success
18:37:14.630    AVAST engine defs: 13072201
18:42:44.711    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
18:42:44.726    Disk 0 Vendor: WDC_WD5000BPVT-22HXZT3 01.01A01 Size: 476940MB BusType: 11
18:42:44.820    Disk 0 MBR read successfully
18:42:44.820    Disk 0 MBR scan
18:42:44.836    Disk 0 Windows 7 default MBR code
18:42:44.836    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        16384 MB offset 2048
18:42:44.867    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 33556480
18:42:44.882    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       109987 MB offset 33761280
18:42:44.882    Disk 0 Partition - 00     0F Extended LBA            350464 MB offset 259015995
18:42:44.914    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       153496 MB offset 259016058
18:42:44.929    Disk 0 Partition - 00     05     Extended            196968 MB offset 573375915
18:42:44.945    Disk 0 Partition 5 00     07    HPFS/NTFS NTFS       196968 MB offset 573375978
18:42:44.992    Disk 0 scanning C:\Windows\system32\drivers
18:42:58.735    Service scanning
18:43:24.678    Modules scanning
18:43:24.678    Disk 0 trace - called modules:
18:43:24.725    ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
18:43:24.740    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80080b1060]
18:43:24.756    3 CLASSPNP.SYS[fffff880019a243f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8007aae060]
18:43:25.318    AVAST engine scan C:\Windows
18:43:27.439    AVAST engine scan C:\Windows\system32
18:48:10.049    AVAST engine scan C:\Windows\system32\drivers
18:48:22.888    AVAST engine scan C:\Users\***
18:57:50.027    AVAST engine scan C:\ProgramData
18:58:27.171    Scan finished successfully
19:03:23.259    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
19:03:23.259    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"
         

Dann bei ESET weis ich nicht ob das mit den externen Festplatten sehr wichtig ist. Der Scan lief ohne, dass ein externes Gerät angeschlossen war. Ich habe auch nur einen USB-Stick, den ich wirklich nutze und auf dem befinden sich derzeit auch keine Daten drauf. Wenn du sagst ich soll, dann mach ich noch einen Scan mit USB angeschlossen aber hier ist erstmal das Logfile ohne Gerät:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=e6dded6f737f7d458600f5d71af64acf
# engine=14494
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-22 06:21:24
# local_time=2013-07-22 08:21:24 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 99 189660 239944174 159895 0
# compatibility_mode=5893 16776573 100 94 92782 126147134 0 0
# scanned=213638
# found=4
# cleaned=0
# scan_time=4323
sh=407837A1D9ADA53A32EC954E31C739C5DAD3AC94 ft=1 fh=d6417535bd706cba vn="a variant of Win32/SpeedingUpMyPC.B application" ac=I fn="C:\Users\***\AppData\Local\Temp\OptimizerPro.exe"
sh=DDF0105395012A0BEA68DB5AE3734ADE7B8C17CD ft=1 fh=0a01dd2bb5d4f687 vn="a variant of Win32/SpeedingUpMyPC.B application" ac=I fn="C:\Users\***\AppData\Local\Temp\DIQM\audacity_027\software\OptimizerPro.exe"
sh=DA602313EC344E31F340105C29DF699267F73B84 ft=1 fh=34999f3f19837452 vn="multiple threats" ac=I fn="C:\Users\***\AppData\Local\Temp\DIQM\audacity_027\software\Yontoo.exe"
sh=E87E715A284C86A40AA79F525EEE0F24D6A48087 ft=1 fh=0f9fdb178dcdad9d vn="a variant of Win32/SpeedingUpMyPC.B application" ac=I fn="C:\Users\***\AppData\Local\Temp\DIQM\Format-Factory_027\software\OptimizerPro.exe"
         

Und zu guter Letzt noch das Logfie von SecurityCheck:

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.70  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 10  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java 7 Update 21  
 Java version out of Date! 
 Adobe Flash Player 11.7.700.224  
 Mozilla Firefox (22.0) 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Ich weis die Java Version ist nicht mehr die Aktuellste aber ich werde in nächster Zeit mal das neue Update 25 herunterladen.

Danke für die tolle Hilfe soweit
Wünsche dir noch einen schönen Wochenstart.

mfg. _Bytes_

Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Also mit DelFix hat alles funktioniert und alles ist sauber.
Hab dann heute gleich das neueste Java Update heruntergeladen und auch gleich Firefox Add-ons wie WOT und AdblockPlus. Also soweit alles klar.

Aber was ich seit längerer Zeit feststellen muss, ist dass sich im Bilder Ordner auf meiner C-Partition tausende von tempfiles befinden. Kann das was damit zu tun haben, denn ich finde es ein wenig komisch, dass ein Programm tempfiles in einem Benutzerordner ablegt.

Auf jeden Fall danke ich dir für deine tolle Hilfe und wünsche dir noch eine schöne Woche

Normal ist das nicht...

Wie alt sind die Dateien?

Schon ma mit einem Texteditor reingeschaut?

Ich schätze die sind schon älter aber ich weis es auch nicht genau, da ich in die Ordner im Benutzer nie was abspeichere um die Primärpartition für System frei zu halten.
Ich hab sie gestern dann mal gelöscht und nach dem reboot waren sie auch nicht wieder da.
Und heute auch keine mehr von da her geh ich mal davon aus, dass das Programm welche sie ausgelagert hat nicht mehr aktiv ist. Ich könnt mir vorstellen, dass sie von GIMP stammen oder wenn sie schon im Bilder Ordner waren. Wie gesagt ich weis es nicht und da sie nicht wieder gekommen sind belassen wirs mal dabei denk ich.

Auf jeden Fall nochmal danke für deine tolle Hilfe mit meinem Problem

mfg. _Bytes_