Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Weißer Bildschirm nach Anmeldung [Windows 7]

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.02.2013, 09:33   #1
Beet
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Guten morgen liebes Trojaner-Team,

Mein Problem scheint ein bereits bekanntes Problem zu sein, sodass ich mir schon mehrere Beiträge in diesem Forum dazu durchgelesen habe, aber nicht wusste, ob man den dort beschriebenen Anweisungen auch einfach folgen kann. In den Regeln steht nämlich "1. Auch wenn es den Anschein hat, dass ein anderer User das selbe Problem hat, befolge keinesfalls blind die selben Schritte. Jede Infizierung bedarf individuelle Behandlung."

Außerdem will ich mit meinem Thema nicht sofort in der "Mülltonne" landen - was scheinbar der Fall ist, wenn bereits abgehandelte Themen nochmal aufgegriffen werden (siehe hier http://www.trojaner-board.de/130518-...-anmelden.html) - da sich auf dem Rechner wichtige Arbeiten befinden, die ich für meine Prüfungen notwendigerweise brauche. Ein Verlorengehen dieser Daten wäre die reinste Katastrophe.

So, nun zum Problem: Beim Hochfahren des Rechners gibt es keine Probleme. Nach der Anmeldung erscheint der Desktop für etwa eine Sekunde, und wird dann komplett weiß. Nur den Cursor kann man dann noch sehen und bewegen. Die Funktion, ALT+STRG+ENTF lässt sich ausführen. Wenn man allerdings auf den Task-Manager zurückgreifen will, landet man wieder auf dem weißen Desktop, wo nur der Cursor drauf zusehen ist.

Wenn ich versuche mit dem abgesicherten Modus reinzukommen, erscheint der Desktop wieder für etwa eine Sekunde. Danach fährt der Rechner runter.

Das Problem tauchte vor 4 Tagen auf, als ich mir im Internet Musik anhören wollte. Als ich auf der Seite gelandet bin - habe den Namen leider vergessen, war aber keine bekannte Plattform wie "youtube" oder so - öffnete sich ein kleines Fenster, wo man entweder "ausführen" oder "abbrechen" auswählen konnte. Als Herausgeber war "Windows" angegeben. Jedes mal, wenn ich auf "abbrechen" gedrückt habe, hat sich das Fenster sofort wieder geöffnet. Schließlich habe ich auf "ausführen" gedrückt, sodass ich auf bereits genanntes Problem gestoßen bin: Bildschirm weiß.

Wie ich euch jetzt Informationen zu meinem System liefern kann, so wie ihr das in Punkt 2 beschreibt, also mittels "delogger" und "OTL", weiß ich leider nicht, da ich ja keinen Zugriff auf den Desktop habe und somit die Programme nicht runterladen und ausführen kann.

Wie gesagt, über eine Hilfe würde ich mich sehr freuen. Es wäre auch sehr schön, wenn der/die Helfende nicht in einer Fachsprache mir die Anweisungen geben könnte, da ich, was Computer angeht, nicht sehr bewandert bin.


Beste Grüße

Beet

Alt 23.02.2013, 10:12   #2
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Kein Problem, kriegen wir hin.



Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?

Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".


Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
__________________

__________________

Alt 24.02.2013, 18:37   #3
Beet
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Vielen vielen Dank für die schnelle Antwort und die Mühe!

Hier der FRST.txt:

PHP-Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x64Version23-02-2013 01
Ran by SYSTEM at 24
-02-2013 17:58:57
Running from F
:\
Windows 7 Home Premium   (X64OS LanguageGerman Standard 
The current controlset is ControlSet002

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [snp2uvcC:\Windows\vsnp2uvc.exe [675840 2008-08-01] (Sonix)
HKLM-x32\...\Run: [avgnt"C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2010-12-13] (Avira GmbH)
HKLM-x32\...\Run: [DivXUpdate"C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1230704 2011-03-21] ()
HKLM-x32\...\Run: [Adobe ARM"C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [946352 2012-12-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Conime] %windir%\system32\conime.exe [x]
HKLM-x32\...\Run: [AppleSyncNotifierC:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe [58656 2011-04-20] (Apple Inc.)
HKLM-x32\...\Run: [QuickTime Task"C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2011-07-05] (Apple Inc.)
HKLM-x32\...\Run: [APSDaemon"C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2011-09-27] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper"C:\Program Files (x86)\iTunes\iTunesHelper.exe" [421736 2011-10-09] (Apple Inc.)
HKLM-x32\...\Run: [FixCameraC:\Windows\FixCamera.exe [188928 2008-08-21] (SONIX)
HKLM-x32\...\Run: [snp2uvcC:\Windows\vsnp2uvc.exe [675840 2008-08-01] (Sonix)
HKLM-x32\...\Run: [tsnp2uvcC:\Windows\tsnp2uvc.exe [320512 2009-12-11] ()
HKLM-x32\...\Run: [SunJavaUpdateSched"C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [252296 2012-01-17] (Sun MicrosystemsInc.)
HKLM-x32\...\Run: [EKStatusMonitorC:\Program Files (x86)\Kodak\AiO\StatusMonitor\EKStatusMonitor.exe [2844608 2012-10-15] (Eastman Kodak Company)
HKU\Sever\...\Run: [AlcoholAutomount"C:\Program Files (x86)\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe" -automount [33120 2010-08-20] (Alcohol Soft Development Team)
HKU\Sever\...\Run: [Facebook Update"C:\Users\Sever\AppData\Local\Facebook\Update\FacebookUpdate.exe" //nocrashserver [138096 2012-07-21] (Facebook Inc.)
HKU\Sever\...\Run: [Spotify"C:\Users\Sever\AppData\Roaming\Spotify\Spotify.exe" /uri spotify:autostart [7880664 2012-11-09] (Spotify Ltd)
HKU\Sever\...\Run: [Spotify Web Helper"C:\Users\Sever\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [1199576 2012-11-09] (Spotify Ltd)
HKU\Sever\...\Run: [GoogleDriveSync"C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart [16328976 2012-12-17] (Google)
HKU\Sever\...\Run: [WA5H2V3Y6CUAXIYHQEZZRGITC:\4gEJsVyiA73\58A59837BA9.exe /[491567 2011-11-17] (Softwareentwicklung Yuschuk)
HKU\Sever\...\Winlogon: [Shellexplorer.exe,C:\Users\Sever\AppData\Roaming\skype.dat [122880 2011-11-17] ()
Tcpip\Parameters: [DhcpNameServer192.168.1.1
Startup
C:\ProgramData\Start Menu\Programs\Startup\Prezi Desktop.lnk
ShortcutTarget
Prezi Desktop.lnk -> C:\Program Files (x86)\Prezi Desktop 4\Prezi Desktop.exe ()
StartupC:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ShortcutTarget
ctfmon.lnk -> C:\Users\Sever\AppData\Local\Temp\install_0_msi.exe (No File)
StartupC:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget
Dropbox.lnk ->  (No File)
StartupC:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget
runctf.lnk -> C:\Users\Sever\wgsdgsdgdsgsd.exe (No File)

==================== 
Services (Whitelisted) ===================

2 AntiVirSchedulerService"C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [136360 2011-05-03] (Avira GmbH)
2 AntiVirService"C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [269480 2011-07-20] (Avira GmbH)
2 Kodak AiO Status Monitor Service"C:\Program Files (x86)\Kodak\AiO\StatusMonitor\EKPrinterSDK.exe" [779200 2012-10-15] (Eastman Kodak Company)
2 StarWindServiceAEC:\Program Files (x86)\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe [370688 2009-12-23] (StarWind Software)
2 syshost32"C:\Windows\Installer\{F4CB8E55-01B1-1E4E-7171-09E75122202E}\syshost.exe" /service [64000 2013-02-19] ()

==================== 
Drivers (Whitelisted) =====================

2 avgntfltC:\Windows\System32\Drivers\avgntflt.sys [88288 2011-07-20] (Avira GmbH)
1 avipbbC:\Windows\System32\Drivers\avipbb.sys [123784 2011-07-20] (Avira GmbH)
3 SMARTMouseFilterx64C:\Windows\System32\Drivers\SMARTMouseFilterx64.sys [13168 2011-07-13] (SMART Technologies ULC)
3 SMARTVHidMiniVistaAmd64C:\Windows\System32\Drivers\SMARTVHidMiniVistaAmd64.sys [16368 2011-07-13] (SMART Technologies ULC)
3 SMARTVTabletPCx64C:\Windows\System32\Drivers\SMARTVTabletPCx64.sys [24944 2011-07-13] (SMART Technologies ULC)
3 SNP2UVCC:\Windows\System32\Drivers\SNP2UVC.sys [3552512 2009-12-18] ()
0 sptdC:\Windows\System32\Drivers\sptd.sys [513080 2011-03-26] (Duplex Secure Ltd.)
1 257c7f; \??\C:\Windows\system32\drivers\257c7f.sys [x]
3 X6va005; \??\C:\Users\Sever\AppData\Local\Temp\00545A9.tmp [x]

==================== 
NetSvcs (Whitelisted) ====================


==================== 
One Month Created Files and Folders ========

2013-02-24 17:58 2013-02-24 17:58 00000000 ____D C:\FRST
2013
-02-19 22:29 2013-02-24 17:45 00000004 ____A C:\Users\Sever\AppData\Roaming\skype.ini
2013
-02-19 22:24 2013-02-19 22:24 00003304 ____N C:\bootsqm.dat
2013
-02-19 22:17 2013-02-19 22:17 00076248 ____A C:\Windows\System32\Drivers\a37bf0f4fddcc762.sys
2013
-02-15 15:12 2013-02-15 15:12 00001439 ____A C:\Users\Sever\Desktop\Internet Explorer (2).lnk
2013
-02-14 21:47 2013-02-14 21:47 00086390 ____A C:\Users\Sever\Desktop\Für meinen Schatz.pptx
2013
-02-13 22:49 2013-01-09 02:48 17812992 ____A (Microsoft CorporationC:\Windows\System32\mshtml.dll
2013
-02-13 22:49 2013-01-09 02:22 10925568 ____A (Microsoft CorporationC:\Windows\System32\ieframe.dll
2013
-02-13 22:49 2013-01-09 02:19 02312704 ____A (Microsoft CorporationC:\Windows\System32\jscript9.dll
2013
-02-13 22:49 2013-01-09 02:12 01392128 ____A (Microsoft CorporationC:\Windows\System32\wininet.dll
2013
-02-13 22:49 2013-01-09 02:12 01346048 ____A (Microsoft CorporationC:\Windows\System32\urlmon.dll
2013
-02-13 22:49 2013-01-09 02:11 01494528 ____A (Microsoft CorporationC:\Windows\System32\inetcpl.cpl
2013
-02-13 22:49 2013-01-09 02:10 00237056 ____A (Microsoft CorporationC:\Windows\System32\url.dll
2013
-02-13 22:49 2013-01-09 02:09 00085504 ____A (Microsoft CorporationC:\Windows\System32\jsproxy.dll
2013
-02-13 22:49 2013-01-09 02:07 00816640 ____A (Microsoft CorporationC:\Windows\System32\jscript.dll
2013
-02-13 22:49 2013-01-09 02:07 00599040 ____A (Microsoft CorporationC:\Windows\System32\vbscript.dll
2013
-02-13 22:49 2013-01-09 02:07 00173056 ____A (Microsoft CorporationC:\Windows\System32\ieUnatt.exe
2013
-02-13 22:49 2013-01-09 02:06 00729088 ____A (Microsoft CorporationC:\Windows\System32\msfeeds.dll
2013
-02-13 22:49 2013-01-09 02:05 02147840 ____A (Microsoft CorporationC:\Windows\System32\iertutil.dll
2013
-02-13 22:49 2013-01-09 02:04 02382848 ____A (Microsoft CorporationC:\Windows\System32\mshtml.tlb
2013
-02-13 22:49 2013-01-09 02:04 00096768 ____A (Microsoft CorporationC:\Windows\System32\mshtmled.dll
2013
-02-13 22:49 2013-01-09 02:00 00248320 ____A (Microsoft CorporationC:\Windows\System32\ieui.dll
2013
-02-13 22:49 2013-01-08 23:23 12321280 ____A (Microsoft CorporationC:\Windows\SysWOW64\mshtml.dll
2013
-02-13 22:49 2013-01-08 23:11 01800704 ____A (Microsoft CorporationC:\Windows\SysWOW64\jscript9.dll
2013
-02-13 22:49 2013-01-08 23:09 09738240 ____A (Microsoft CorporationC:\Windows\SysWOW64\ieframe.dll
2013
-02-13 22:49 2013-01-08 23:03 01427968 ____A (Microsoft CorporationC:\Windows\SysWOW64\inetcpl.cpl
2013
-02-13 22:49 2013-01-08 23:03 01129472 ____A (Microsoft CorporationC:\Windows\SysWOW64\wininet.dll
2013
-02-13 22:49 2013-01-08 23:03 01103872 ____A (Microsoft CorporationC:\Windows\SysWOW64\urlmon.dll
2013
-02-13 22:49 2013-01-08 23:01 00231936 ____A (Microsoft CorporationC:\Windows\SysWOW64\url.dll
2013
-02-13 22:49 2013-01-08 23:00 00065024 ____A (Microsoft CorporationC:\Windows\SysWOW64\jsproxy.dll
2013
-02-13 22:49 2013-01-08 22:59 00142848 ____A (Microsoft CorporationC:\Windows\SysWOW64\ieUnatt.exe
2013
-02-13 22:49 2013-01-08 22:58 00717824 ____A (Microsoft CorporationC:\Windows\SysWOW64\jscript.dll
2013
-02-13 22:49 2013-01-08 22:58 00420864 ____A (Microsoft CorporationC:\Windows\SysWOW64\vbscript.dll
2013
-02-13 22:49 2013-01-08 22:57 00607744 ____A (Microsoft CorporationC:\Windows\SysWOW64\msfeeds.dll
2013
-02-13 22:49 2013-01-08 22:56 02382848 ____A (Microsoft CorporationC:\Windows\SysWOW64\mshtml.tlb
2013
-02-13 22:49 2013-01-08 22:56 01796096 ____A (Microsoft CorporationC:\Windows\SysWOW64\iertutil.dll
2013
-02-13 22:49 2013-01-08 22:56 00073216 ____A (Microsoft CorporationC:\Windows\SysWOW64\mshtmled.dll
2013
-02-13 22:49 2013-01-08 22:53 00176640 ____A (Microsoft CorporationC:\Windows\SysWOW64\ieui.dll
2013
-02-13 21:16 2013-01-05 06:57 05500776 ____A (Microsoft CorporationC:\Windows\System32\ntoskrnl.exe
2013
-02-13 21:16 2013-01-05 06:02 03957608 ____A (Microsoft CorporationC:\Windows\SysWOW64\ntkrnlpa.exe
2013
-02-13 21:16 2013-01-05 06:02 03902312 ____A (Microsoft CorporationC:\Windows\SysWOW64\ntoskrnl.exe
2013
-02-13 21:16 2013-01-04 06:37 00362496 ____A (Microsoft CorporationC:\Windows\System32\wow64win.dll
2013
-02-13 21:16 2013-01-04 06:37 00243200 ____A (Microsoft CorporationC:\Windows\System32\wow64.dll
2013
-02-13 21:16 2013-01-04 06:37 00013312 ____A (Microsoft CorporationC:\Windows\System32\wow64cpu.dll
2013
-02-13 21:16 2013-01-04 06:36 00215040 ____A (Microsoft CorporationC:\Windows\System32\winsrv.dll
2013
-02-13 21:16 2013-01-04 06:33 00016384 ____A (Microsoft CorporationC:\Windows\System32\ntvdm64.dll
2013
-02-13 21:16 2013-01-04 06:30 01161216 ____A (Microsoft CorporationC:\Windows\System32\kernel32.dll
2013
-02-13 21:16 2013-01-04 06:30 00424960 ____A (Microsoft CorporationC:\Windows\System32\KernelBase.dll
2013
-02-13 21:16 2013-01-04 06:27 00006144 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00004608 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00004608 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00004096 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00004096 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00003584 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00003584 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:27 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00005120 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00004096 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00004096 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003584 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003584 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003584 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003584 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003584 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 06:26 00003072 ___AH (Microsoft CorporationC:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:51 01114112 ____A (Microsoft CorporationC:\Windows\SysWOW64\kernel32.dll
2013
-02-13 21:16 2013-01-04 05:51 00274944 ____A (Microsoft CorporationC:\Windows\SysWOW64\KernelBase.dll
2013
-02-13 21:16 2013-01-04 05:51 00005120 ____A (Microsoft CorporationC:\Windows\SysWOW64\wow32.dll
2013
-02-13 21:16 2013-01-04 05:43 00005120 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00004608 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00004096 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00004096 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00004096 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00004096 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00004096 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003584 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003584 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003584 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003584 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003584 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003584 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 05:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 04:22 03150848 ____A (Microsoft CorporationC:\Windows\System32\win32k.sys
2013
-02-13 21:16 2013-01-04 04:19 00338432 ____A (Microsoft CorporationC:\Windows\System32\conhost.exe
2013
-02-13 21:16 2013-01-04 03:48 00025600 ____A (Microsoft CorporationC:\Windows\SysWOW64\setup16.exe
2013
-02-13 21:16 2013-01-04 03:48 00014336 ____A (Microsoft CorporationC:\Windows\SysWOW64\ntvdm64.dll
2013
-02-13 21:16 2013-01-04 03:48 00007680 ____A (Microsoft CorporationC:\Windows\SysWOW64\instnm.exe
2013
-02-13 21:16 2013-01-04 03:48 00002048 ____A (Microsoft CorporationC:\Windows\SysWOW64\user.exe
2013
-02-13 21:16 2013-01-04 03:43 00006144 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 03:43 00004608 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 03:43 00003584 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2013
-02-13 21:16 2013-01-04 03:43 00003072 ___AH (Microsoft CorporationC:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2013
-02-13 21:15 2013-01-04 06:41 01893224 ____A (Microsoft CorporationC:\Windows\System32\Drivers\tcpip.sys
2013
-02-13 21:15 2013-01-04 06:40 00287576 ____A (Microsoft CorporationC:\Windows\System32\Drivers\FWPKCLNT.SYS
2013
-02-10 16:20 2013-02-10 16:21 92259719 ____A C:\Users\Sever\Desktop\diebehinderten.wmv
2013
-02-10 16:02 2013-02-10 16:03 76025488 ____A C:\Users\Sever\Desktop\J&Slol.wmv
2013
-02-10 14:24 2013-02-10 14:24 00000000 ____D C:\Users\Sever\AppData\Local\{EBC84D4C-2720-4CE2-AC5E-AAAAF8880479}
2013-02-09 10:35 2013-02-09 10:35 00214344 ____A C:\Users\Sever\Downloads\hdplugin_iexplorer.exe
2013
-02-08 18:39 2013-02-10 00:48 00000000 ____D C:\Users\Sever\Desktop\Neuer Ordner
2013
-02-08 13:42 2013-02-08 13:45 00384438 ____A C:\Users\Sever\Desktop\Mali-Konflikt.pptx
2013
-02-06 23:00 2013-02-06 23:00 00000000 ____D C:\Users\Sever\AppData\Roaming\{6501F24D-A1D0-4051-B43B-D999FC41F4E6}
2013-02-05 23:13 2013-02-05 21:02 1123278465 ____A C:\Users\Sever\Desktop\MVI_4778.MOV
2013
-02-05 23:09 2013-02-05 23:09 00000000 ____D C:\Users\Sever\Desktop\cam pictures 05.02.13
2013
-02-05 22:34 2013-02-05 22:34 00000175 ____A C:\Users\Sever\Desktop\abi prüfungen.txt
2013
-02-05 09:51 2013-02-02 21:35 00023830 ____A C:\Users\Sever\Desktop\MVI_4652.THM
2013
-02-05 09:51 2013-02-02 21:19 10315001 ____A C:\Users\Sever\Desktop\MVI_4640.MOV
2013
-02-05 09:51 2013-01-26 23:55 00019947 ____A C:\Users\Sever\Desktop\MVI_4639.THM
2013
-02-05 09:51 2013-01-26 23:54 332696009 ____A C:\Users\Sever\Desktop\MVI_4639.MOV
2013
-02-05 09:50 2013-02-02 21:34 190863753 ____A C:\Users\Sever\Desktop\MVI_4652.MOV
2013
-02-05 09:50 2013-02-02 21:32 00026905 ____A C:\Users\Sever\Desktop\MVI_4646.THM
2013
-02-05 09:50 2013-02-02 21:31 36773321 ____A C:\Users\Sever\Desktop\MVI_4646.MOV
2013
-02-05 09:50 2013-02-02 21:31 00018530 ____A C:\Users\Sever\Desktop\MVI_4645.THM
2013
-02-05 09:48 2013-02-02 21:32 00021119 ____A C:\Users\Sever\Desktop\MVI_4644.THM
2013
-02-05 09:48 2013-02-02 21:31 2825651953 ____A C:\Users\Sever\Desktop\MVI_4645.MOV
2013
-02-05 09:48 2013-02-02 21:23 49323561 ____A C:\Users\Sever\Desktop\MVI_4644.MOV
2013
-02-05 09:48 2013-02-02 21:23 00023956 ____A C:\Users\Sever\Desktop\MVI_4643.THM
2013
-02-05 09:48 2013-02-02 21:22 23720141 ____A C:\Users\Sever\Desktop\MVI_4643.MOV
2013
-02-05 09:48 2013-02-02 21:22 00014404 ____A C:\Users\Sever\Desktop\MVI_4642.THM
2013
-02-05 09:47 2013-02-05 09:52 00000000 ____D C:\Users\Sever\Desktop\öä
2013
-02-05 09:47 2013-02-02 21:22 00019646 ____A C:\Users\Sever\Desktop\MVI_4640.THM
2013
-02-05 09:47 2013-02-02 21:21 377734981 ____A C:\Users\Sever\Desktop\MVI_4642.MOV
2013
-02-05 09:47 2013-02-02 21:20 11875449 ____A C:\Users\Sever\Desktop\MVI_4641.MOV
2013
-02-05 09:47 2013-02-02 21:20 00023310 ____A C:\Users\Sever\Desktop\MVI_4641.THM
2013
-01-27 12:35 2013-01-27 12:35 10000984 ____A (Eastman Kodak CompanyC:\Users\Sever\Downloads\aio_install.exe

==================== One Month Modified Files and Folders =======

2013-02-24 17:45 2013-02-19 22:29 00000004 ____A C:\Users\Sever\AppData\Roaming\skype.ini
2013
-02-24 17:45 2012-11-09 20:24 00000000 ____D C:\Users\Sever\AppData\Roaming\Spotify
2013
-02-24 17:44 2011-12-12 20:41 00001104 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013
-02-24 17:44 2011-07-08 10:52 00000000 ____D C:\ProgramData\Kodak
2013
-02-24 17:44 2011-02-01 15:05 00000000 ____D C:\ProgramData\NVIDIA
2013
-02-24 17:44 2009-07-14 06:08 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013
-02-24 17:44 2009-07-14 05:51 00164903 ____A C:\Windows\setupact.log
2013
-02-24 17:34 2012-06-07 11:19 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013
-02-23 09:37 2011-01-31 23:10 01915771 ____A C:\Windows\WindowsUpdate.log
2013
-02-23 08:50 2009-07-14 05:45 00014800 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013
-02-23 08:50 2009-07-14 05:45 00014800 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013
-02-23 08:44 2011-12-12 20:41 00001108 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013
-02-21 14:27 2011-09-02 20:37 00001138 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-513823673-3397401628-271577299-1000UA.job
2013
-02-19 22:31 2011-12-10 12:46 00000000 ____D C:\Users\Sever\AppData\Roaming\Dropbox
2013
-02-19 22:24 2013-02-19 22:24 00003304 ____N C:\bootsqm.dat
2013
-02-19 22:24 2011-02-01 15:02 00044916 ____A C:\Windows\PFRO.log
2013
-02-19 22:17 2013-02-19 22:17 00076248 ____A C:\Windows\System32\Drivers\a37bf0f4fddcc762.sys
2013
-02-19 21:53 2012-11-10 22:04 00000000 ___SD C:\Users\Sever\Google Drive
2013
-02-19 21:53 2011-12-10 12:51 00000000 ___RD C:\Users\Sever\Dropbox
2013
-02-19 16:42 2012-03-29 15:44 00000000 ____D C:\ProgramData\Skype
2013
-02-18 23:27 2011-09-02 20:37 00001116 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-513823673-3397401628-271577299-1000Core.job
2013
-02-15 15:12 2013-02-15 15:12 00001439 ____A C:\Users\Sever\Desktop\Internet Explorer (2).lnk
2013
-02-14 21:47 2013-02-14 21:47 00086390 ____A C:\Users\Sever\Desktop\Für meinen Schatz.pptx
2013
-02-14 21:35 2009-07-14 05:45 00449952 ____A C:\Windows\System32\FNTCACHE.DAT
2013
-02-13 22:57 2011-07-17 11:34 00000000 ____D C:\ProgramData\Microsoft Help
2013
-02-13 22:54 2009-07-14 18:58 00696832 ____A C:\Windows\System32\perfh007.dat
2013
-02-13 22:54 2009-07-14 18:58 00148128 ____A C:\Windows\System32\perfc007.dat
2013
-02-13 22:54 2009-07-14 06:13 01634396 ____A C:\Windows\System32\PerfStringBackup.INI
2013
-02-10 16:21 2013-02-10 16:20 92259719 ____A C:\Users\Sever\Desktop\diebehinderten.wmv
2013
-02-10 16:03 2013-02-10 16:02 76025488 ____A C:\Users\Sever\Desktop\J&Slol.wmv
2013
-02-10 14:24 2013-02-10 14:24 00000000 ____D C:\Users\Sever\AppData\Local\{EBC84D4C-2720-4CE2-AC5E-AAAAF8880479}
2013-02-10 00:48 2013-02-08 18:39 00000000 ____D C:\Users\Sever\Desktop\Neuer Ordner
2013
-02-10 00:34 2012-06-07 11:19 00697712 ____A (Adobe Systems IncorporatedC:\Windows\SysWOW64\FlashPlayerApp.exe
2013
-02-10 00:34 2011-06-26 19:32 00074096 ____A (Adobe Systems IncorporatedC:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013
-02-09 10:35 2013-02-09 10:35 00214344 ____A C:\Users\Sever\Downloads\hdplugin_iexplorer.exe
2013
-02-08 13:45 2013-02-08 13:42 00384438 ____A C:\Users\Sever\Desktop\Mali-Konflikt.pptx
2013
-02-08 00:43 2011-07-25 12:23 00000000 ____D C:\Users\Sever\Desktop\Schule (***)
2013-02-06 23:01 2012-01-11 20:09 00000000 ___HD C:\4gEJsVyiA73
2013
-02-06 23:00 2013-02-06 23:00 00000000 ____D C:\Users\Sever\AppData\Roaming\{6501F24D-A1D0-4051-B43B-D999FC41F4E6}
2013-02-05 23:09 2013-02-05 23:09 00000000 ____D C:\Users\Sever\Desktop\cam pictures 05.02.13
2013
-02-05 22:34 2013-02-05 22:34 00000175 ____A C:\Users\Sever\Desktop\abi prüfungen.txt
2013
-02-05 21:02 2013-02-05 23:13 1123278465 ____A C:\Users\Sever\Desktop\MVI_4778.MOV
2013
-02-05 09:52 2013-02-05 09:47 00000000 ____D C:\Users\Sever\Desktop\öä
2013
-02-04 13:05 2012-12-30 11:03 00000000 ____D C:\Users\Sever\Desktop\fotowand
2013
-02-02 21:35 2013-02-05 09:51 00023830 ____A C:\Users\Sever\Desktop\MVI_4652.THM
2013
-02-02 21:34 2013-02-05 09:50 190863753 ____A C:\Users\Sever\Desktop\MVI_4652.MOV
2013
-02-02 21:32 2013-02-05 09:50 00026905 ____A C:\Users\Sever\Desktop\MVI_4646.THM
2013
-02-02 21:32 2013-02-05 09:48 00021119 ____A C:\Users\Sever\Desktop\MVI_4644.THM
2013
-02-02 21:31 2013-02-05 09:50 36773321 ____A C:\Users\Sever\Desktop\MVI_4646.MOV
2013
-02-02 21:31 2013-02-05 09:50 00018530 ____A C:\Users\Sever\Desktop\MVI_4645.THM
2013
-02-02 21:31 2013-02-05 09:48 2825651953 ____A C:\Users\Sever\Desktop\MVI_4645.MOV
2013
-02-02 21:23 2013-02-05 09:48 49323561 ____A C:\Users\Sever\Desktop\MVI_4644.MOV
2013
-02-02 21:23 2013-02-05 09:48 00023956 ____A C:\Users\Sever\Desktop\MVI_4643.THM
2013
-02-02 21:22 2013-02-05 09:48 23720141 ____A C:\Users\Sever\Desktop\MVI_4643.MOV
2013
-02-02 21:22 2013-02-05 09:48 00014404 ____A C:\Users\Sever\Desktop\MVI_4642.THM
2013
-02-02 21:22 2013-02-05 09:47 00019646 ____A C:\Users\Sever\Desktop\MVI_4640.THM
2013
-02-02 21:21 2013-02-05 09:47 377734981 ____A C:\Users\Sever\Desktop\MVI_4642.MOV
2013
-02-02 21:20 2013-02-05 09:47 11875449 ____A C:\Users\Sever\Desktop\MVI_4641.MOV
2013
-02-02 21:20 2013-02-05 09:47 00023310 ____A C:\Users\Sever\Desktop\MVI_4641.THM
2013
-02-02 21:19 2013-02-05 09:51 10315001 ____A C:\Users\Sever\Desktop\MVI_4640.MOV
2013
-02-01 20:01 2012-10-13 10:55 00000000 ____D C:\Users\Sever\Desktop\fotos
2013
-01-27 12:35 2013-01-27 12:35 10000984 ____A (Eastman Kodak CompanyC:\Users\Sever\Downloads\aio_install.exe
2013
-01-26 23:55 2013-02-05 09:51 00019947 ____A C:\Users\Sever\Desktop\MVI_4639.THM
2013
-01-26 23:54 2013-02-05 09:51 332696009 ____A C:\Users\Sever\Desktop\MVI_4639.MOV
2013
-01-26 11:27 2013-01-20 20:07 00000000 ____D C:\Users\Sever\Desktop\Neslihan


ZeroAccess
:
C:\$Recycle.Bin\S-1-5-21-513823673-3397401628-271577299-1000\$4f0924f7495c5e61b9a0c633d593c7a5

==================== Known DLLs (Whitelisted) =================


==================== 
Bamital volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C
:\Windows\System32\wininit.exe => MD5 is legit
C
:\Windows\SysWOW64\wininit.exe => MD5 is legit
C
:\Windows\explorer.exe => MD5 is legit
C
:\Windows\SysWOW64\explorer.exe => MD5 is legit
C
:\Windows\System32\svchost.exe => MD5 is legit
C
:\Windows\SysWOW64\svchost.exe => MD5 is legit
C
:\Windows\System32\services.exe => MD5 is legit
C
:\Windows\System32\User32.dll => MD5 is legit
C
:\Windows\SysWOW64\User32.dll => MD5 is legit
C
:\Windows\System32\userinit.exe => MD5 is legit
C
:\Windows\SysWOW64\userinit.exe => MD5 is legit
C
:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


testsigning
: ==> Check for possible unsigned rootkit driver <===== ATTENTION!

==================== 
EXE ASSOCIATION =====================

HKLM\...\.exeexefile => OK
HKLM
\...\exefile\DefaultIcon: %=> OK
HKLM
\...\exefile\open\command"%1" %* => OK

==================== Restore Points  =========================

Restore point made on2013-02-12 22:29:03
Restore point made on
2013-02-13 19:31:42
Restore point made on
2013-02-13 22:49:32
Restore point made on
2013-02-15 01:21:06
Restore point made on
2013-02-15 11:34:51
Restore point made on
2013-02-15 16:33:25
Restore point made on
2013-02-15 16:42:29
Restore point made on
2013-02-16 00:55:33
Restore point made on
2013-02-16 11:43:38
Restore point made on
2013-02-16 17:44:20
Restore point made on
2013-02-16 22:39:09
Restore point made on
2013-02-17 15:59:01
Restore point made on
2013-02-17 17:30:42
Restore point made on
2013-02-17 18:34:35
Restore point made on
2013-02-17 21:41:11
Restore point made on
2013-02-18 18:00:23
Restore point made on
2013-02-18 23:32:24
Restore point made on
2013-02-19 14:15:17
Restore point made on
2013-02-19 16:41:52

==================== Memory info =========================== 

Percentage of memory in use: 16%
Total physical RAM4093.55 MB
Available physical RAM
3414.86 MB
Total Pagefile
4091.7 MB
Available Pagefile
3398.06 MB
Total Virtual
8192 MB
Available Virtual
8191.9 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:931.41 GB) (Free:740.34 GBNTFS
2 Drive e
: (GRMCHPXFREO_DE_DVD) (CDROM) (Total:2.97 GB) (Free:0 GBUDF
3 Drive f
: (CORSAIR) (Removable) (Total:14.99 GB) (Free:14.98 GBFAT32
8 Drive x
: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GBNTFS
9 Drive y
: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GBNTFS ==>[System with boot components (obtained from reading drive)]

  
Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  
---------------  -------------  -------  -------  ---  ---
  
Datentr„ger 0    Online          931 GB      0 B         
  Datentr„ger 1    Online           15 GB      0 B         
  Datentr„ger 2    Kein Medium        0 B      0 B         
  Datentr„ger 3    Kein Medium        0 B      0 B         
  Datentr„ger 4    Kein Medium        0 B      0 B         
  Datentr„ger 5    Kein Medium        0 B      0 B         

Partitions of Disk 0
:
===============

Datentr„ger-IDFB38893A

  Partition 
###  Typ               Gr”áe    Offset
  
-------------  ----------------  -------  -------
  
Partition 1    Prim„r             100 MB  1024 KB
  Partition 2    Prim„r             931 GB   101 MB

==================================================================================

Disk0
Partition 1
Typ      
07
Versteckt
Nein
Aktiv    
Ja

  Volume 
###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  
----------  ---  -----------  -----  ----------  -------  ---------  --------
Volume 1     Y   System-rese  NTFS   Partition    100 MB  Fehlerfre          

=========================================================

Disk0
Partition 2
Typ      
07
Versteckt
Nein
Aktiv    
Nein

  Volume 
###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  
----------  ---  -----------  -----  ----------  -------  ---------  --------
Volume 2     C                NTFS   Partition    931 GB  Fehlerfre          

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-IDC3072E18

  Partition 
###  Typ               Gr”áe    Offset
  
-------------  ----------------  -------  -------
  
Partition 1    Prim„r              14 GB    16 KB

==================================================================================

Disk1
Partition 1
Typ      
0C
Versteckt
Nein
Aktiv    
Ja

  Volume 
###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  
----------  ---  -----------  -----  ----------  -------  ---------  --------
Volume 3     F   CORSAIR      FAT32  Wechselmed    14 GB  Fehlerfre          

=========================================================

Last Boot2013-02-23 09:00

==================== End Of Log ============================= 
__________________

Alt 24.02.2013, 18:57   #4
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Bitte keine PHP-Tags sondern CODE.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.



Und du machst auch sonst keine halben Sachen oder? Habe selten so viel Malware gesehen.



Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
C:\Windows\System32\Drivers\a37bf0f4fddcc762.sys 
2 syshost32; "C:\Windows\Installer\{F4CB8E55-01B1-1E4E-7171-09E75122202E}\syshost.exe" /service [64000 2013-02-19] () 
C:\Windows\Installer\{F4CB8E55-01B1-1E4E-7171-09E75122202E}\syshost.exe
1 257c7f; \??\C:\Windows\system32\drivers\257c7f.sys [x]
3 X6va005; \??\C:\Users\Sever\AppData\Local\Temp\00545A9.tmp [x] 
Startup: C:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
C:\Users\Sever\wgsdgsdgdsgsd.exe 
HKU\Sever\...\Winlogon: [Shell] explorer.exe,C:\Users\Sever\AppData\Roaming\skype.dat [122880 2011-11-17] ()
C:\Users\Sever\AppData\Roaming\skype.dat
HKU\Sever\...\Run: [WA5H2V3Y6CUAXIYHQEZZRGIT] C:\4gEJsVyiA73\58A59837BA9.exe /q [491567 2011-11-17] (Softwareentwicklung Yuschuk)
C:\4gEJsVyiA73\58A59837BA9.exe
Startup: C:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\$Recycle.Bin\S-1-5-21-513823673-3397401628-271577299-1000
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2:
Normal booten


Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 5:
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 24.02.2013, 20:00   #5
Beet
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Bin mit Schritt 1-4 durch. Wollte gerade Combofix starten; doch das Programm meldet, dass "Avira AntiVir Desktop" noch nicht deaktiviert ist, obwohl aber im Control Center steht, dass das bereits deaktiviert sei. Wie kann ich das denn jetzt "wirklich" deaktivieren?


Alt 24.02.2013, 20:11   #6
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Zitat:
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
Du liest aber schon was ich so schreibe?
__________________
--> Weißer Bildschirm nach Anmeldung [Windows 7]

Alt 24.02.2013, 20:40   #7
Beet
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Jap, tut mir leid. Habe es dann auch noch gesehen. Die geforderten Dateien:

Fixlog

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-02-2013 01
Ran by SYSTEM at 2013-02-24 19:26:40 Run:1
Running from J:\

==============================================

C:\Windows\System32\Drivers\a37bf0f4fddcc762.sys  moved successfully.
syshost32 service deleted successfully.
C:\Windows\Installer\{F4CB8E55-01B1-1E4E-7171-09E75122202E}\syshost.exe moved successfully.
257c7f service deleted successfully.
X6va005 service deleted successfully.
C:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.
C:\Users\Sever\wgsdgsdgdsgsd.exe  not found.
HKEY_USERS\Sever\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.
C:\Users\Sever\AppData\Roaming\skype.dat moved successfully.
HKEY_USERS\Sever\Software\Microsoft\Windows\CurrentVersion\Run\\WA5H2V3Y6CUAXIYHQEZZRGIT Value deleted successfully.
C:\4gEJsVyiA73\58A59837BA9.exe moved successfully.
C:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
C:\$Recycle.Bin\S-1-5-21-513823673-3397401628-271577299-1000 moved successfully.

==== End of Fixlog ====
         
AdwCleaner

AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v2.113 - Datei am 24/02/2013 um 19:33:43 erstellt
# Aktualisiert am 23/02/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium  (64 bits)
# Benutzer : Sever - SEVER-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Sever\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\searchplugins\Conduit.xml
Datei Gelöscht : C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\searchplugins\MyStart Search.xml
Ordner Gelöscht : C:\Program Files\Babylon
Ordner Gelöscht : C:\ProgramData\InstallMate
Ordner Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TheBflix
Ordner Gelöscht : C:\ProgramData\Premium
Ordner Gelöscht : C:\ProgramData\TheBflix
Ordner Gelöscht : C:\Users\Sever\AppData\Local\Temp\BabylonToolbar
Ordner Gelöscht : C:\Users\Sever\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\Sever\AppData\LocalLow\TheBflix
Ordner Gelöscht : C:\Users\Sever\AppData\Roaming\dvdvideosoftiehelpers

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\BabylonHelper.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bhoclass.bho.bhoclass.bho
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{C2CF0D01-7657-48AA-98C9-AE5E64757FCC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D2F39980-399F-492E-8D88-5FF7CCB3B47F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D2F39980-399F-492E-8D88-5FF7CCB3B47F}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v3.6.14 (de)

Datei : C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\prefs.js

C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\user.js ... Gelöscht !

Gelöscht : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Gelöscht : user_pref("browser.search.defaultthis.engineName", "Stardoll Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2836015&Sea[...]
Gelöscht : user_pref("extensions.4f81f012e49cb.scode", "\n(function(){var bdomains={\"search.babylon.com\":1,\"[...]
Gelöscht : user_pref("extensions.BabylonToolbar.admin", false);
Gelöscht : user_pref("extensions.BabylonToolbar.aflt", "babclient");
Gelöscht : user_pref("extensions.BabylonToolbar.babExt", "");
Gelöscht : user_pref("extensions.BabylonToolbar.babTrack", "affID=8836&tt=010312_latest");
Gelöscht : user_pref("extensions.BabylonToolbar.bbDpng", 5);
Gelöscht : user_pref("extensions.BabylonToolbar.dfltLng", "de");
Gelöscht : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Gelöscht : user_pref("extensions.BabylonToolbar.hmpg", true);
Gelöscht : user_pref("extensions.BabylonToolbar.id", "ee6b733c0000000000001c6f658231dc");
Gelöscht : user_pref("extensions.BabylonToolbar.instlDay", "15435");
Gelöscht : user_pref("extensions.BabylonToolbar.instlRef", "std");
Gelöscht : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?affID=8836&tt=010312_l[...]
Gelöscht : user_pref("extensions.BabylonToolbar.lastDP", 5);
Gelöscht : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1714:34:41");
Gelöscht : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.6");
Gelöscht : user_pref("extensions.BabylonToolbar.newTab", true);
Gelöscht : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Gelöscht : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Gelöscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Gelöscht : user_pref("extensions.BabylonToolbar.propectorlck", 72193961);
Gelöscht : user_pref("extensions.BabylonToolbar.prtkHmpg", 1);
Gelöscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Gelöscht : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Gelöscht : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Gelöscht : user_pref("extensions.BabylonToolbar.srcExt", "def");
Gelöscht : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1714:34:41");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Gelöscht : user_pref("extensions.BabylonToolbar_i.aflt", "babclient");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babExt", "");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=8836&tt=010312_latest");
Gelöscht : user_pref("extensions.BabylonToolbar_i.hardId", "ee6b733c0000000000001c6f658231dc");
Gelöscht : user_pref("extensions.BabylonToolbar_i.id", "ee6b733c0000000000001c6f658231dc");
Gelöscht : user_pref("extensions.BabylonToolbar_i.instlDay", "15435");
Gelöscht : user_pref("extensions.BabylonToolbar_i.instlRef", "std");
Gelöscht : user_pref("extensions.BabylonToolbar_i.newTab", false);
Gelöscht : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Gelöscht : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Gelöscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.BabylonToolbar_i.srcExt", "def");
Gelöscht : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1714:34:41");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Gelöscht : user_pref("extensions.incredibar.admin", false);
Gelöscht : user_pref("extensions.incredibar.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar.cntry", "DE");
Gelöscht : user_pref("extensions.incredibar.dfltLng", "");
Gelöscht : user_pref("extensions.incredibar.dfltSrch", false);
Gelöscht : user_pref("extensions.incredibar.did", "10650");
Gelöscht : user_pref("extensions.incredibar.envrmnt", "production");
Gelöscht : user_pref("extensions.incredibar.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar.hdrMd5", "D3F6A58D7B4B58BE2C523EE721A19200");
Gelöscht : user_pref("extensions.incredibar.hmpg", false);
Gelöscht : user_pref("extensions.incredibar.id", "ee6b733c0000000000001c6f658231dc");
Gelöscht : user_pref("extensions.incredibar.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar.instlDay", "15438");
Gelöscht : user_pref("extensions.incredibar.instlRef", "");
Gelöscht : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.1422:47:30");
Gelöscht : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");
Gelöscht : user_pref("extensions.incredibar.newTab", false);
Gelöscht : user_pref("extensions.incredibar.noFFXTlbr", false);
Gelöscht : user_pref("extensions.incredibar.ppd", "27%5F4");
Gelöscht : user_pref("extensions.incredibar.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar.productid", "26");
Gelöscht : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar.sg", "none");
Gelöscht : user_pref("extensions.incredibar.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6R8pkpxGGi&loc=IB_T[...]
Gelöscht : user_pref("extensions.incredibar.upn2", "6R8pkpxGGi");
Gelöscht : user_pref("extensions.incredibar.upn2n", "92824156496413998");
Gelöscht : user_pref("extensions.incredibar.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar.vrsnTs", "1.5.11.1422:47:30");
Gelöscht : user_pref("extensions.incredibar.vrsni", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar_i.dfltLng", "");
Gelöscht : user_pref("extensions.incredibar_i.did", "10650");
Gelöscht : user_pref("extensions.incredibar_i.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar_i.id", "ee6b733c0000000000001c6f658231dc");
Gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar_i.instlDay", "15438");
Gelöscht : user_pref("extensions.incredibar_i.instlRef", "");
Gelöscht : user_pref("extensions.incredibar_i.ms_url_id", "");
Gelöscht : user_pref("extensions.incredibar_i.newTab", false);
Gelöscht : user_pref("extensions.incredibar_i.ppd", "27%5F4");
Gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar_i.productid", "26");
Gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6R8pkpxGGi&loc=IB[...]
Gelöscht : user_pref("extensions.incredibar_i.upn2", "6R8pkpxGGi");
Gelöscht : user_pref("extensions.incredibar_i.upn2n", "92824156496413998");
Gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1422:47:30");
Gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Gelöscht : user_pref("keyword.URL", "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=");

*************************

AdwCleaner[S1].txt - [12002 octets] - [24/02/2013 19:33:43]

########## EOF - C:\AdwCleaner[S1].txt - [12063 octets] ##########
         
--- --- ---


[/CODE]

ComboFix

Code:
ATTFilter
Combofix Logfile:
Code:
ATTFilter
ComboFix 13-02-24.01 - Sever 24.02.2013  20:17:30.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.4094.2883 [GMT 1:00]
ausgeführt von:: c:\users\Sever\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\dsgsdgdsgdsgw.pad
c:\programdata\ism_0_llatsni.pad
c:\users\Sever\AppData\Local\Temp\_MEI24842\_ctypes.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\_elementtree.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\_hashlib.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\_socket.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\_ssl.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\pyexpat.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\pysqlite2._sqlite.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\python26.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\pythoncom26.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\PyWinTypes26.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\select.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\unicodedata.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32api.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32com.shell.shell.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32crypt.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32event.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32file.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32inet.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32pdh.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32process.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32profile.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32security.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\win32ts.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\windows._cacheinvalidation.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wx._controls_.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wx._core_.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wx._gdi_.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wx._html2.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wx._misc_.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wx._windows_.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wx._wizard.pyd
c:\users\Sever\AppData\Local\Temp\_MEI24842\wxbase293u_net_vc.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\wxbase293u_vc.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\wxmsw293u_adv_vc.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\wxmsw293u_core_vc.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\wxmsw293u_html_vc.dll
c:\users\Sever\AppData\Local\Temp\_MEI24842\wxmsw293u_webview_vc.dll
c:\users\Sever\AppData\Roaming\Help\coredb\storage
c:\users\Sever\AppData\Roaming\skype.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-24 bis 2013-02-24  ))))))))))))))))))))))))))))))
.
.
2013-02-24 16:58 . 2013-02-24 16:58	--------	d-----w-	C:\FRST
2013-02-13 21:52 . 2013-01-09 01:10	996352	----a-w-	c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-13 21:52 . 2013-01-08 22:01	768000	----a-w-	c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-13 20:16 . 2013-01-05 05:57	5500776	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-02-13 20:15 . 2013-01-04 05:41	1893224	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-02-13 20:15 . 2013-01-04 05:40	287576	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
2013-02-06 22:00 . 2013-02-06 22:00	--------	d-----w-	c:\users\Sever\AppData\Roaming\{6501F24D-A1D0-4051-B43B-D999FC41F4E6}
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-09 23:34 . 2012-06-07 10:19	697712	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-02-09 23:34 . 2011-06-26 18:32	74096	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-01-04 04:43 . 2013-02-13 20:16	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2012-12-26 18:55 . 2012-12-26 18:55	2890	----a-w-	c:\programdata\dsgsdgdsgdsgw.js
2012-12-16 16:52 . 2012-12-21 15:21	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 14:40 . 2012-12-21 15:21	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-16 14:25 . 2012-12-21 15:21	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-16 14:25 . 2012-12-21 15:21	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
2012-12-07 05:41 . 2013-01-09 16:07	441856	----a-w-	c:\windows\system32\Wpc.dll
2012-12-07 05:35 . 2013-01-09 16:07	2745856	----a-w-	c:\windows\system32\gameux.dll
2012-12-07 05:04 . 2013-01-09 16:07	308736	----a-w-	c:\windows\SysWow64\Wpc.dll
2012-12-07 04:57 . 2013-01-09 16:07	2576384	----a-w-	c:\windows\SysWow64\gameux.dll
2012-12-07 03:45 . 2013-01-09 16:07	43520	----a-w-	c:\windows\system32\csrr.rs
2012-12-07 03:45 . 2013-01-09 16:07	45568	----a-w-	c:\windows\system32\oflc-nz.rs
2012-12-07 03:45 . 2013-01-09 16:07	30720	----a-w-	c:\windows\system32\usk.rs
2012-12-07 03:45 . 2013-01-09 16:07	23552	----a-w-	c:\windows\system32\oflc.rs
2012-12-07 03:45 . 2013-01-09 16:07	44544	----a-w-	c:\windows\system32\pegibbfc.rs
2012-12-07 03:45 . 2013-01-09 16:07	40960	----a-w-	c:\windows\system32\cob-au.rs
2012-12-07 03:45 . 2013-01-09 16:07	21504	----a-w-	c:\windows\system32\grb.rs
2012-12-07 03:45 . 2013-01-09 16:07	20480	----a-w-	c:\windows\system32\pegi-pt.rs
2012-12-07 03:45 . 2013-01-09 16:07	20480	----a-w-	c:\windows\system32\pegi-fi.rs
2012-12-07 03:45 . 2013-01-09 16:07	46592	----a-w-	c:\windows\system32\fpb.rs
2012-12-07 03:45 . 2013-01-09 16:07	20480	----a-w-	c:\windows\system32\pegi.rs
2012-12-07 03:45 . 2013-01-09 16:07	15360	----a-w-	c:\windows\system32\djctq.rs
2012-12-07 03:45 . 2013-01-09 16:07	55296	----a-w-	c:\windows\system32\cero.rs
2012-12-07 03:45 . 2013-01-09 16:07	51712	----a-w-	c:\windows\system32\esrb.rs
2012-12-07 03:21 . 2013-01-09 16:07	45568	----a-w-	c:\windows\SysWow64\oflc-nz.rs
2012-12-07 03:21 . 2013-01-09 16:07	44544	----a-w-	c:\windows\SysWow64\pegibbfc.rs
2012-12-07 03:21 . 2013-01-09 16:07	43520	----a-w-	c:\windows\SysWow64\csrr.rs
2012-12-07 03:21 . 2013-01-09 16:07	30720	----a-w-	c:\windows\SysWow64\usk.rs
2012-12-07 03:21 . 2013-01-09 16:07	23552	----a-w-	c:\windows\SysWow64\oflc.rs
2012-12-07 03:21 . 2013-01-09 16:07	20480	----a-w-	c:\windows\SysWow64\pegi-pt.rs
2012-12-07 03:21 . 2013-01-09 16:07	20480	----a-w-	c:\windows\SysWow64\pegi.rs
2012-12-07 03:21 . 2013-01-09 16:07	20480	----a-w-	c:\windows\SysWow64\pegi-fi.rs
2012-12-07 03:21 . 2013-01-09 16:07	46592	----a-w-	c:\windows\SysWow64\fpb.rs
2012-12-07 03:21 . 2013-01-09 16:07	21504	----a-w-	c:\windows\SysWow64\grb.rs
2012-12-07 03:21 . 2013-01-09 16:07	55296	----a-w-	c:\windows\SysWow64\cero.rs
2012-12-07 03:21 . 2013-01-09 16:07	51712	----a-w-	c:\windows\SysWow64\esrb.rs
2012-12-07 03:21 . 2013-01-09 16:07	40960	----a-w-	c:\windows\SysWow64\cob-au.rs
2012-12-07 03:21 . 2013-01-09 16:07	15360	----a-w-	c:\windows\SysWow64\djctq.rs
2012-03-29 11:27 . 2012-04-08 14:57	142336	----a-w-	c:\program files (x86)\fliptoast.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="c:\program files (x86)\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe" [2010-08-20 33120]
"Facebook Update"="c:\users\Sever\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-07-21 138096]
"Spotify"="c:\users\Sever\AppData\Roaming\Spotify\Spotify.exe" [2012-11-09 7880664]
"Spotify Web Helper"="c:\users\Sever\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-09 1199576]
"GoogleDriveSync"="c:\program files (x86)\Google\Drive\googledrivesync.exe" [2012-12-17 16328976]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-07-05 421888]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"FixCamera"="c:\windows\FixCamera.exe" [2008-08-21 188928]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2008-08-01 675840]
"tsnp2uvc"="c:\windows\tsnp2uvc.exe" [2009-12-11 320512]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"EKStatusMonitor"="c:\program files (x86)\Kodak\AiO\StatusMonitor\EKStatusMonitor.exe" [2012-10-15 2844608]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"KodakHomeCenter"="c:\program files (x86)\Kodak\AiO\Center\AiOHomeCenter.exe" [2012-10-19 2235840]
.
c:\users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Sever\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-1-20 28539272]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Prezi Desktop.lnk - c:\program files (x86)\Prezi Desktop 4\Prezi Desktop.exe [2012-11-8 225280]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-02-29 158856]
R3 LVRS64;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs64.sys [2011-04-01 341856]
R3 LVUVC64;Logitech Webcam C210(UVC);c:\windows\system32\DRIVERS\lvuvc64.sys [2011-04-01 4184672]
R3 SMARTMouseFilterx64;HID-compliant mouse;c:\windows\system32\DRIVERS\SMARTMouseFilterx64.sys [2011-07-13 13168]
R3 SMARTVHidMiniVistaAmd64;SMART HID Device;c:\windows\system32\DRIVERS\SMARTVHidMiniVistaAmd64.sys [2011-07-13 16368]
R3 SMARTVTabletPCx64;SMART Virtual TabletPC;c:\windows\system32\DRIVERS\SMARTVTabletPCx64.sys [2011-07-13 24944]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-05-10 51712]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-03 136360]
S2 Kodak AiO Network Discovery Service;Kodak AiO Network Discovery Service;c:\program files (x86)\Kodak\AiO\Center\EKAiOHostService.exe [2012-10-19 395200]
S2 Kodak AiO Status Monitor Service;Kodak AiO Status Monitor Service;c:\program files (x86)\Kodak\AiO\StatusMonitor\EKPrinterSDK.exe [2012-10-15 779200]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-10-02 382824]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-06-10 187392]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-07 23:34]
.
2013-02-18 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-513823673-3397401628-271577299-1000Core.job
- c:\users\Sever\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-09-02 21:22]
.
2013-02-24 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-513823673-3397401628-271577299-1000UA.job
- c:\users\Sever\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-09-02 21:22]
.
2013-02-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-12-12 19:41]
.
2013-02-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-12-12 19:41]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveBlacklistedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2012-12-17 18:50	755816	----a-w-	c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2012-12-17 18:50	755816	----a-w-	c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}]
2012-12-17 18:50	755816	----a-w-	c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncingOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2012-12-17 18:50	755816	----a-w-	c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2008-08-01 675840]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~2\MIF5BA~1\Office14\ONBttnIE.dll/105
IE: Free YouTube Download - c:\users\Sever\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\Sever\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MIF5BA~1\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\program files (x86)\DivX\DivX Plus Web Player\firefox\wpa
FF - Ext: Free YouTube Download (Free Studio) Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Run-Conime - c:\windows\system32\conime.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-513823673-3397401628-271577299-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-513823673-3397401628-271577299-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_USERS\S-1-5-21-513823673-3397401628-271577299-1000\Software\SecuROM\License information*]
"datasecu"=hex:62,3a,80,c3,b4,25,db,66,41,41,4c,15,65,2b,ee,b4,95,3d,4d,71,98,
   3b,63,dc,41,29,0e,79,ab,f9,58,bc,67,fa,b4,36,ec,3b,70,22,fc,bc,b6,e1,cf,1d,\
"rkeysecu"=hex:25,a3,14,6e,09,30,08,0b,11,c1,98,c9,c9,03,d7,45
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_149_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_149.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-24  20:30:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-02-24 19:30
.
Vor Suchlauf: 9 Verzeichnis(se), 801.759.842.304 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 801.094.389.760 Bytes frei
.
- - End Of File - - D91F7F24B52E5E16BDCEC8A5FEE3D143
         
--- --- ---

Alt 24.02.2013, 20:57   #8
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Na das hat ja mal richtig gerockt ...

wir müssen das nochmal gegenchecken:

Scan mit MBAR
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 24.02.2013, 22:12   #9
Beet
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Hier die Logfile:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.24.06

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Sever :: SEVER-PC [administrator]

24.02.2013 21:39:17
mbar-log-2013-02-24 (21-39-17).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 31972
Time elapsed: 23 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
c:\Program Files (x86)\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Delete on reboot.

(end)
         

Alt 24.02.2013, 22:15   #10
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Prima!

Dann noch 2 Checks und wir sind durch:


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.
Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!

Schritt 2:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 24.02.2013, 23:59   #11
Beet
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



ESET-Log

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=273e9ce8e4798447abc1a7b9de66f6e9
# engine=13233
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-24 10:42:33
# local_time=2013-02-24 11:42:33 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1797 16775165 100 94 18404 98282574 11469 0
# compatibility_mode=5893 16776573 100 94 14875 114151424 0 0
# scanned=207503
# found=7
# cleaned=0
# scan_time=4701
sh=4E9D905EBB0A6B641A001A770EBA05DCC0B7620B ft=0 fh=0000000000000000 vn="Win32/Spy.SpyEye.CFG.A trojan" ac=I fn="C:\4gEJsVyiA73\529C0B990331BB6"
sh=2899186963348F5EFE5C068EB0F4C5318447E9B3 ft=1 fh=baac2afaff10518a vn="a variant of Win32/Injector.ACPT trojan" ac=I fn="C:\FRST\Quarantine\58A59837BA9.exe"
sh=8B394D68E987BD7DAA6049E1E67515FBA39B69F8 ft=1 fh=3fb076afe9e1af79 vn="Win32/LockScreen.APR trojan" ac=I fn="C:\FRST\Quarantine\skype.dat"
sh=BEBCD135E9DC5BA075B6EEB4D8F90E64F94699FA ft=1 fh=255fe3ed8ae5f45a vn="a variant of Win32/Kryptik.AUXA trojan" ac=I fn="C:\FRST\Quarantine\syshost.exe"
sh=C28B947D9B9ADED0247B4FD978C2B2A1A0F2B5CB ft=1 fh=9a4687d617aeaa8a vn="a variant of Win32/Delf.QZL trojan" ac=I fn="C:\Program Files (x86)\Counter-Strike 1.6\cstrike\config.exe"
sh=48E1F4ACA5A2156924D25D6D0FF6583D18587E56 ft=0 fh=0000000000000000 vn="HTML/Ransom.B trojan" ac=I fn="C:\ProgramData\cryaihvwaprzvus\main.html"
sh=48E1F4ACA5A2156924D25D6D0FF6583D18587E56 ft=0 fh=0000000000000000 vn="HTML/Ransom.B trojan" ac=I fn="C:\Users\All Users\cryaihvwaprzvus\main.html"
         
SecurityCheck-Log

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.59  
 Windows 7  x64   
 Out of date service pack!! 
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
AntiVir Desktop   
 Antivirus out of date!  
`````````Anti-malware/Other Utilities Check:````````` 
 JavaFX 2.1.0    
 Java(TM) 6 Update 22  
 Java(TM) 6 Update 29  
 Java(TM) 7 Update 4  
 Java version out of Date! 
  Adobe Flash Player 11.5.502.149 Flash Player out of Date!  
 Adobe Reader 10.1.5 Adobe Reader out of Date!  
 Mozilla Firefox (3.6.14) Firefox out of Date!  
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Alt 25.02.2013, 09:32   #12
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Hm da ist uns wirklich noch was durch die Lappen gegangen und dann ist da noch ne Menge Arbeit für dich


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

    Code:
    ATTFilter
    Folder::
    C:\4gEJsVyiA73
    C:\ProgramData\cryaihvwaprzvus
    C:\Users\All Users\cryaihvwaprzvus
    ClearJavaCache::
             
  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!




Schritt 2:
Windows 7 Service Pack 1 installieren
  • Lade dir bitte das Servicepack 1 für Win 7 64-bit .
  • Starte die Installation. Das Update kann wenige Minuten bis über eine Stunde dauern und wird einen Neustart erfordern.


Schritt 3:
Java Update (Windows XP, Vista, 7)
Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 15) herunter laden.
  • Während der Installation entferne den Haken bei:
Wenn die Installation beendet wurde:
  • Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.
Nach dem Neustart:
  • Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen...
  • Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.
Schritt 4:
Update: Adobe Flash Player
  • Entferne zunächst alle alten Versionen des Flash Players über die Systemsteuerung.
  • Lade dir bitte die neueste Version des Flash Players
  • Entferne vor dem Download den Haken:
  • Starte die Installation und folge den Anweisungen des Setups.

Schritt 5:
Update: Adobe Reader
  • Deinstalliere deine alte Version von Adobe Reader (Systemsteuerung > Programme > Deinstallieren).
  • Lade dir die aktuelle Version hier herunter: get.adobe.com/de/reader/
  • Entferne dabei den Haken:
- oder -

Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Schritt 6:
Update: Firefox, Addons und Plugins
  • Klicke auf > Hilfe > Über Firefox
  • Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
  • Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
  • Klicke nun auf > Add-ons > > Auf Updates überprüfen
  • Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig), ob folgende Links fehlende Updates bei deinen Plugins zeigen:
Schritt 7:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 27.02.2013, 14:48   #13
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 28.02.2013, 19:33   #14
Beet
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Hey, habe die Tage viel zu tun, sodass ich die Schritte noch nicht durchführen konnte. Werde mich auch erst am Wochenende frühestens darum kümmern können. Wäre super, wenn Du dann noch Zeit für mich hättest. Hoffe das klappt noch, auch wenn die 24 Stunden schon vorbei sind.

Alt 03.03.2013, 12:48   #15
ryder
/// TB-Ausbilder
 
Weißer Bildschirm nach Anmeldung [Windows 7] - Standard

Weißer Bildschirm nach Anmeldung [Windows 7]



Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Antwort

Themen zu Weißer Bildschirm nach Anmeldung [Windows 7]
anmeldung, bildschirm, bli, computer, cursor, desktop, folge, forum, hochfahren, internet, meldung, musik, namen, problem, programme, rechner, seite, strg, system, task-manager, windows, windows 7, youtube, zugriff



Ähnliche Themen: Weißer Bildschirm nach Anmeldung [Windows 7]


  1. Windows 7 32bit - weißer Bildschirm nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 05.07.2014 (20)
  2. Windows 7 64 Bit Weißer Bildschirm nach der Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 24.03.2014 (5)
  3. Windows 7: Weißer Bildschirm nach Anmeldung
    Log-Analyse und Auswertung - 05.03.2014 (5)
  4. Weißer Bildschirm nach Anmeldung (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 17.12.2013 (4)
  5. weißer Bildschirm nach Anmeldung, im abges. Modus sofortiger Neustart nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 22.11.2013 (12)
  6. Weißer Bildschirm nach Windows 7 Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 02.11.2013 (7)
  7. Windows 7 -weißer Bildschirm nach Anmeldung
    Log-Analyse und Auswertung - 26.10.2013 (9)
  8. Windows 7 (64-Bit) : Weißer Bildschirm nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (15)
  9. Weißer Bildschirm nach Anmeldung (Windows 7)
    Plagegeister aller Art und deren Bekämpfung - 15.08.2013 (11)
  10. Weißer Bildschirm nach Windows 7 Anmeldung (Frstlogfile hab ich was nun)
    Log-Analyse und Auswertung - 12.08.2013 (3)
  11. Weißer Bildschirm nach Windows 7 Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 30.07.2013 (11)
  12. Windows XP Weißer Bildschirm nach der Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 07.07.2013 (25)
  13. Weißer Bildschirm nach Anmeldung, Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 08.05.2013 (9)
  14. Windows 7 - Weißer Bildschirm nach Anmeldung - OTLPE funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 11.01.2013 (8)
  15. Weißer Bildschirm nach Anmeldung, Windows XP Professional
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (6)
  16. Weißer Bildschirm nach Anmeldung bei Windows 7
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (2)
  17. Nach Anmeldung weißer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (5)

Zum Thema Weißer Bildschirm nach Anmeldung [Windows 7] - Guten morgen liebes Trojaner-Team, Mein Problem scheint ein bereits bekanntes Problem zu sein, sodass ich mir schon mehrere Beiträge in diesem Forum dazu durchgelesen habe, aber nicht wusste, ob man - Weißer Bildschirm nach Anmeldung [Windows 7]...
Archiv
Du betrachtest: Weißer Bildschirm nach Anmeldung [Windows 7] auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.