Problem mit GVU/Bundespolizei- Trojaner

Brucess · 30.06.2012, 01:50

Hallo liebes Forum,

wie schon erwähnt hat es mich auch mit dem besagten Trojanern getroffen.
Nach einiger Recherche hab Ich es mit dieser Anleitung probiert:

hxxp://blog.botfrei.de/2012/03/anleitung-gvu-trojaner-v2-04-entfernen-windows-xp-vista-7/

Jedoch fand mein Laptop mit der Kaspersky rescue nicht die reg ich suchen sollte.
Beim Virenscan brach er bei 69% ab, zeigte einige kommandozeilen(bunt auf schwarz) und stürzte ab.

Ab und zu kamen aber Meldungen rein, dass der Trojaner trojan.win32.swisyn.cfgg gefunden wurde.

Wäre es der einfachheithalber möglich ein paar bestimmte Daten noch zu retten und den Rest einfach zu formatieren?

Ich habe übrigens Windows 7 32-bit und habe einen zweiten PC zu verfügung.

Vielen Dank schonmal im Vorraus!!!

markusg · 30.06.2012, 15:17

schaun wir mal
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Brucess · 02.07.2012, 13:46

Nach dem Scan kommt ein Fenster "out of memory" obwohl auf C:/ 80 GB frei sind.

Was lässt sich da machen?

markusg · 02.07.2012, 17:14

bitte mal ohne script scannen.

Brucess · 02.07.2012, 21:37

Hat jetzt geklappt

danke

Code:

ATTFilter

OTL logfile created on: 7/3/2012 12:54:22 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Professional Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 87.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 200.20 Gb Total Space | 86.40 Gb Free Space | 43.16% Space Free | Partition Type: NTFS
Drive D: | 87.89 Gb Total Space | 87.80 Gb Free Space | 99.90% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/05/15 06:26:00 | 001,262,400 | ---- | M] (NVIDIA Corporation) [Auto] -- C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2012/05/08 16:06:06 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/05/08 16:06:06 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/02/20 17:22:32 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2012/01/03 09:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2009/12/23 17:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - [2009/08/11 11:09:52 | 000,582,944 | ---- | M] (Broadcom Corporation.) [Auto] -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins)
SRV - [2009/07/13 21:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009/05/03 09:05:04 | 000,031,248 | ---- | M] (Syntek America Inc.) [Auto] -- C:\Windows\System32\StkCSrv.exe -- (StkSSrv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2012/05/15 06:26:00 | 011,354,944 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2012/05/08 16:06:06 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/05/08 16:06:06 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012/04/18 13:08:04 | 000,148,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2011/11/08 07:12:17 | 000,436,792 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2011/10/11 10:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/01/25 06:17:30 | 000,489,464 | ---- | M] (ITETech                  ) [Kernel | On_Demand] -- C:\Windows\System32\drivers\AF15BDA.sys -- (AF15BDA)
DRV - [2010/11/20 17:29:24 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 17:29:03 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\vmbus.sys -- (vmbus)
DRV - [2010/11/20 17:29:03 | 000,062,464 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\dmvsc.sys -- (dmvsc)
DRV - [2010/11/20 17:29:03 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010/11/20 17:29:03 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010/11/20 17:29:03 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\storvsc.sys -- (storvsc)
DRV - [2010/11/20 17:29:03 | 000,027,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV - [2010/11/20 17:29:03 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010/11/20 17:29:03 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010/06/17 10:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/01/13 11:36:40 | 006,755,840 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\NETw5s32.sys -- (NETw5s32) Intel(R)
DRV - [2009/07/13 18:02:53 | 000,311,296 | ---- | M] (Marvell) [Kernel | On_Demand] -- C:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)
DRV - [2009/07/13 18:02:51 | 004,231,168 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\netw5v32.sys -- (netw5v32) Intel(R)
DRV - [2009/07/03 05:29:10 | 001,436,560 | ---- | M] (Syntek) [Kernel | On_Demand] -- C:\Windows\System32\drivers\StkCMini.sys -- (StkCMini)
DRV - [2009/03/02 09:12:10 | 000,038,400 | ---- | M] (Samsung Electronics Co., Ltd.) [Kernel | Auto] -- C:\Windows\System32\drivers\DGIVECP.SYS -- (DgiVecp)
DRV - [2009/03/02 09:12:10 | 000,005,120 | ---- | M] (Samsung Electronics) [Kernel | Auto] -- C:\Windows\System32\drivers\SSPORT.SYS -- (SSPORT)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\Simson_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\Simson_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\Simson_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = BA C1 83 7A 32 56 CD 01  [binary data]
IE - HKU\Simson_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Simson_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\System32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE:  File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\Program Files\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\Program Files\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012/01/10 10:03:41 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/06/29 13:09:37 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012/06/29 13:09:37 | 000,000,000 | ---D | M]
 
[2011/11/29 09:06:37 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/11/21 00:21:43 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011/11/20 21:17:49 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/11/20 21:09:48 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011/11/20 21:17:49 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011/11/20 21:17:49 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/11/20 21:17:49 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/11/20 21:17:49 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\Program Files\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll (TerraTec Electronic GmbH)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKU\LocalService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\UpdatusUser_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: Error locating startup folders.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/07/03 00:53:41 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2012/06/29 13:09:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2012/06/29 13:09:18 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime
[2012/06/29 13:07:35 | 039,483,256 | ---- | C] (Apple Inc.) -- C:\Users\Simson\Desktop\QuickTimeInstaller.exe
[2012/06/23 05:51:11 | 002,422,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wucltux.dll
[2012/06/23 05:51:11 | 000,045,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups2.dll
[2012/06/23 05:51:02 | 000,577,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapi.dll
[2012/06/23 05:51:02 | 000,088,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wudriver.dll
[2012/06/23 05:51:02 | 000,035,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups.dll
[2012/06/23 05:50:47 | 000,171,904 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuwebv.dll
[2012/06/23 05:50:47 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapp.exe
[2012/06/21 08:00:51 | 000,000,000 | ---D | C] -- C:\Users\Simson\Desktop\tl
[2012/06/14 10:43:10 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012/06/14 10:43:09 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012/06/14 10:43:09 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2012/06/14 10:43:09 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012/06/14 10:43:08 | 001,800,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012/06/14 10:43:08 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript.dll
[2012/06/14 10:43:08 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012/06/14 10:43:07 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012/06/14 08:53:52 | 002,343,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012/06/14 08:53:52 | 000,129,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpcorekmts.dll
[2012/06/14 08:53:52 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdpwsx.dll
[2012/06/14 08:53:52 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\rdrmemptylst.exe
[2012/06/11 05:23:24 | 000,000,000 | ---D | C] -- C:\Users\Simson\Documents\Battlefield 2 Demo
[2012/06/11 05:10:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES
[2011/11/05 11:39:05 | 000,121,344 | ---- | C] ( ) -- C:\Windows\System32\lagarith.dll
[1 C:\Users\Simson\Desktop\*.tmp files -> C:\Users\Simson\Desktop\*.tmp -> ]
[1 C:\Users\Simson\AppData\Roaming\*.tmp files -> C:\Users\Simson\AppData\Roaming\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/06/29 20:39:59 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/06/29 20:39:51 | 2411,679,744 | -HS- | M] () -- C:\hiberfil.sys
[2012/06/29 16:29:04 | 004,503,728 | ---- | M] () -- C:\ProgramData\l_u0_0.pad
[2012/06/29 16:18:57 | 000,022,032 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/06/29 16:18:57 | 000,022,032 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/06/29 16:15:27 | 000,643,866 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/06/29 16:15:27 | 000,607,190 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/06/29 16:15:27 | 000,126,394 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/06/29 16:15:27 | 000,103,568 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/06/29 16:05:02 | 000,001,883 | ---- | M] () -- C:\Users\Simson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012/06/29 13:09:27 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2012/06/29 13:07:45 | 039,483,256 | ---- | M] (Apple Inc.) -- C:\Users\Simson\Desktop\QuickTimeInstaller.exe
[2012/06/28 10:50:46 | 000,064,193 | ---- | M] () -- C:\Users\Simson\Desktop\Urlaubsantrag_einzeln.pdf
[2012/06/27 16:41:50 | 000,663,951 | ---- | M] () -- C:\Users\Simson\Desktop\Glaube und NW - Polkinghorne.pdf
[2012/06/20 09:06:32 | 285,733,718 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012/06/20 05:03:42 | 000,020,500 | ---- | M] () -- C:\Users\Simson\Desktop\Leichtathletikmeldebogen_Lehramt__Bachelor_06.pdf
[2012/06/14 12:41:47 | 000,342,888 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012/06/11 05:10:36 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES
[1 C:\Users\Simson\Desktop\*.tmp files -> C:\Users\Simson\Desktop\*.tmp -> ]
[1 C:\Users\Simson\AppData\Roaming\*.tmp files -> C:\Users\Simson\AppData\Roaming\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/06/29 16:05:02 | 004,503,728 | ---- | C] () -- C:\ProgramData\l_u0_0.pad
[2012/06/29 16:05:02 | 000,001,883 | ---- | C] () -- C:\Users\Simson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012/06/28 10:50:46 | 000,064,193 | ---- | C] () -- C:\Users\Simson\Desktop\Urlaubsantrag_einzeln.pdf
[2012/06/27 16:41:50 | 000,663,951 | ---- | C] () -- C:\Users\Simson\Desktop\Glaube und NW - Polkinghorne.pdf
[2012/06/20 05:03:42 | 000,020,500 | ---- | C] () -- C:\Users\Simson\Desktop\Leichtathletikmeldebogen_Lehramt__Bachelor_06.pdf
[2012/05/15 16:02:24 | 000,000,032 | ---- | C] () -- C:\Users\Simson\AppData\Roaming\blckdom.res
[2012/04/01 14:32:32 | 000,088,592 | ---- | C] () -- C:\Windows\StkUnist.exe
[2012/04/01 14:32:31 | 000,197,648 | ---- | C] () -- C:\Windows\System32\drivers\StkCSF.sys
[2011/12/13 10:00:39 | 000,069,632 | ---- | C] () -- C:\Windows\RAUNINST.EXE
[2011/12/13 07:41:28 | 000,006,144 | ---- | C] () -- C:\Users\Simson\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/11/05 12:38:09 | 000,471,040 | ---- | C] () -- C:\Windows\ssndii.exe
[2011/11/05 12:08:26 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2011/11/05 11:39:07 | 000,165,376 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2011/11/05 11:39:06 | 000,000,038 | ---- | C] () -- C:\Windows\avisplitter.ini
[2011/11/05 11:39:05 | 002,600,448 | ---- | C] () -- C:\Windows\System32\x264vfw.dll
[2011/11/05 11:39:05 | 000,810,496 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2011/11/05 11:39:05 | 000,183,808 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2011/11/05 11:39:04 | 000,080,896 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2011/04/11 21:30:05 | 000,643,866 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2011/04/11 21:30:05 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2011/04/11 21:30:05 | 000,126,394 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2011/04/11 21:30:05 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2010/11/20 17:29:26 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2010/11/20 17:29:24 | 000,252,928 | ---- | C] () -- C:\Windows\System32\DShowRdpFilter.dll
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009/07/14 00:33:53 | 000,342,888 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,607,190 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,103,568 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2002/01/02 20:09:18 | 000,000,356 | ---- | C] () -- C:\Windows\System32\AF15IrTbl.bin
 
========== LOP Check ==========
 
[2012/05/15 16:02:28 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\08036
[2012/05/18 14:21:17 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\08037
[2012/05/21 05:28:48 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\08038
[2012/05/24 06:32:33 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\08039
[2012/05/25 04:17:17 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\08040
[2012/01/30 13:26:08 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\Ashampoo
[2011/12/16 11:30:20 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\Canneverbe Limited
[2011/12/05 07:48:11 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\CLeVer
[2012/05/15 16:02:17 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\kock
[2011/11/28 09:38:56 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\MediaMonkey
[2011/11/05 11:30:28 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\Opera
[2012/02/06 07:47:08 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\TerraTec
[2012/05/15 18:12:36 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\UAs
[2011/11/28 09:26:00 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\WindSolutions
[2012/05/15 18:13:28 | 000,000,000 | ---D | M] -- C:\Users\Simson\AppData\Roaming\xmldm
[2011/11/04 12:21:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2011/12/23 20:22:26 | 000,000,000 | ---D | M] -- C:\ProgramData\ashampoo
[2011/12/16 11:30:20 | 000,000,000 | ---D | M] -- C:\ProgramData\Canneverbe Limited
[2011/11/06 07:10:48 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonBJ
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2011/11/04 12:21:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2011/11/04 12:21:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2011/11/28 09:31:50 | 000,000,000 | ---D | M] -- C:\ProgramData\MediaMonkey
[2011/11/05 12:21:21 | 000,000,000 | ---D | M] -- C:\ProgramData\SAMSUNG
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2011/11/04 12:21:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2012/02/06 07:48:12 | 000,000,000 | ---D | M] -- C:\ProgramData\TerraTec
[2011/11/04 12:21:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2011/11/28 09:25:58 | 000,000,000 | ---D | M] -- C:\ProgramData\WindSolutions
[2011/11/28 08:54:39 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012/05/31 11:06:37 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >

markusg · 03.07.2012, 18:39

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

ATTFilter

:OTL
[2012/06/29 16:05:02 | 000,001,883 | ---- | C] () -- C:\Users\Simson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Files
:Commands
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Brucess · 03.07.2012, 21:41

Hi hab alles gemacht wie ich du sagtest. Das Programm fragt ob ich rebooten möchte und Ich bestätige das, worauf dann aber leider nichts passiert.
Wenn ich ihn nicht von sich aus rebooten lasse, sagt das Programm, das der fix complete ist, worauf er den fix log öffnen möchte. Darauf meldet notepad mir "Filename...is incorrect."

Als ich den laptop dann neu starten will, bleibt er beim fenster wo ich restart auswählen konnte stecken und reagiert nicht mehr(bis auf die Maus bewegung).
Daher bleibt mir nichts anderes übrig als den stecker zu ziehen und neu zu starten. Beim booten wollte der Laptop dann den "datenträger auf konsistenz prüfen".

Anschliessend bootet er neu und der gewohnte desktop erscheint.
Der fixlog ist leider nicht vorhanden.

Wie gehts nun weiter?

Danke schon mal für deine ganze Mühe. Ich weiß das wirklich zu schätzen!

markusg · 04.07.2012, 16:33

weiter hiermit:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Brucess · 04.07.2012, 22:03

hat alles geklappt

Code:

ATTFilter

ComboFix 12-07-04.04 - Simson 04.07.2012  22:52:52.1.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3067.1233 [GMT 2:00]
ausgeführt von:: c:\users\Simson\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\DealPly
c:\program files\DealPly\DealPly.crx
c:\program files\DealPly\DealPlyIE.dll
c:\program files\DealPly\icon.ico
c:\program files\DealPly\uninst.exe
c:\users\Simson\AppData\Local\Microsoft\Windows\Temporary Internet Files\{9625501B-E8EF-4365-A308-4BFD44856152}.xps
c:\users\Simson\AppData\Local\Microsoft\Windows\Temporary Internet Files\{A95A495A-91DA-4458-B926-BA60011E3D22}.xps
c:\users\Simson\AppData\Roaming\AcroIEHelpe.txt
c:\users\Simson\AppData\Roaming\srvblck5.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-04 bis 2012-07-04  ))))))))))))))))))))))))))))))
.
.
2012-07-04 08:51 . 2012-07-04 08:51	--------	d-----w-	c:\users\Simson\AppData\Roaming\Malwarebytes
2012-07-04 08:51 . 2012-07-04 08:51	--------	d-----w-	c:\programdata\Malwarebytes
2012-07-04 08:51 . 2012-07-04 08:51	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-07-04 08:51 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-04 05:14 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2012-07-04 05:14 . 2012-07-04 05:14	--------	d-----w-	C:\_OTL
2012-07-03 23:37 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{869C612B-0880-407F-B222-6D12BAEDE6EF}\mpengine.dll
2012-06-23 09:51 . 2012-06-02 22:19	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-23 09:51 . 2012-06-02 22:19	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-23 09:51 . 2012-06-02 22:19	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-23 09:51 . 2012-06-02 22:12	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-23 09:51 . 2012-06-02 22:19	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-23 09:51 . 2012-06-02 22:19	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-23 09:51 . 2012-06-02 22:12	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-23 09:50 . 2012-06-02 13:19	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-23 09:50 . 2012-06-02 13:12	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-14 12:53 . 2012-04-28 03:17	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-14 12:53 . 2012-05-15 01:05	2343936	----a-w-	c:\windows\system32\win32k.sys
2012-06-14 12:53 . 2012-04-26 04:45	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-06-14 12:53 . 2012-04-26 04:45	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-14 12:53 . 2012-04-26 04:41	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-06-11 09:09 . 2004-10-22 00:18	749568	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iKernel.dll
2012-06-11 09:09 . 2004-10-22 00:17	69715	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\ctor.dll
2012-06-11 09:09 . 2004-10-22 00:17	274432	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iscript.dll
2012-06-11 09:09 . 2004-10-22 00:16	180224	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iuser.dll
2012-06-11 09:09 . 2004-10-22 00:16	5632	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\DotNetInstaller.exe
2012-06-11 09:09 . 2012-06-11 09:09	323716	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\setup.dll
2012-06-11 09:09 . 2012-06-11 09:09	192644	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iGdi.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-25 08:19 . 2012-05-25 08:19	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-25 08:19 . 2011-11-05 15:34	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-15 10:26 . 2012-05-26 17:31	61248	----a-w-	c:\windows\system32\OpenCL.dll
2012-05-15 10:26 . 2012-05-26 17:29	883008	----a-w-	c:\windows\system32\nvgenco32.dll
2012-05-15 10:26 . 2012-05-26 17:29	8105280	----a-w-	c:\windows\system32\nvwgf2um.dll
2012-05-15 10:26 . 2012-05-26 17:29	2524992	----a-w-	c:\windows\system32\nvcuvid.dll
2012-05-15 10:26 . 2012-05-26 17:29	19607872	----a-w-	c:\windows\system32\nvoglv32.dll
2012-05-15 10:26 . 2012-05-26 17:29	15322432	----a-w-	c:\windows\system32\nvd3dum.dll
2012-05-15 10:26 . 2012-05-26 17:29	11354944	----a-w-	c:\windows\system32\drivers\nvlddmkm.sys
2012-05-15 10:26 . 2012-05-26 17:29	1000768	----a-w-	c:\windows\system32\nvdispco32.dll
2012-05-15 10:26 . 2012-05-26 17:29	5982528	----a-w-	c:\windows\system32\nvcuda.dll
2012-05-15 10:26 . 2012-05-26 17:29	2445120	----a-w-	c:\windows\system32\nvcuvenc.dll
2012-05-15 10:26 . 2012-05-26 17:29	2368832	----a-w-	c:\windows\system32\nvapi.dll
2012-05-15 10:26 . 2012-05-26 17:29	17551680	----a-w-	c:\windows\system32\nvcompiler.dll
2012-05-15 09:28 . 2012-05-26 17:31	2561344	----a-w-	c:\windows\system32\nvsvcr.dll
2012-05-15 09:28 . 2012-05-26 17:31	645440	----a-w-	c:\windows\system32\nvvsvc.exe
2012-05-15 09:28 . 2012-05-26 17:31	62272	----a-w-	c:\windows\system32\nvshext.dll
2012-05-15 09:28 . 2012-05-26 17:31	108352	----a-w-	c:\windows\system32\nvmctray.dll
2012-05-15 09:28 . 2012-05-26 17:31	3931456	----a-w-	c:\windows\system32\nvcpl.dll
2012-05-15 09:27 . 2012-05-26 17:31	2759488	----a-w-	c:\windows\system32\nvsvc.dll
2012-05-08 20:06 . 2011-11-05 19:27	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-08 20:06 . 2011-11-05 19:27	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-04-18 18:56 . 2012-04-18 18:56	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2012-04-18 18:56 . 2012-04-18 18:56	69632	----a-w-	c:\windows\system32\QuickTime.qts
2012-04-18 17:08 . 2012-05-26 17:29	67392	----a-w-	c:\windows\system32\nvapo32v.dll
2012-04-18 17:08 . 2012-05-26 17:29	27968	----a-w-	c:\windows\system32\nvhdap32.dll
2012-04-18 17:08 . 2012-05-26 17:29	148800	----a-w-	c:\windows\system32\drivers\nvhda32v.sys
2012-04-18 17:08 . 2012-03-14 12:19	876864	----a-w-	c:\windows\system32\nvhdagenco3220103.dll
2011-11-21 04:21 . 2011-11-29 13:06	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-09-11 614400]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1049896]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
" Malwarebytes Anti-Malware "="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
c:\users\Simson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office14\ONENOTEM.EXE [2010-3-29 227712]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-8-11 795936]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^Users^Simson^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Simson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37	843712	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2010-08-20 11:03	33120	----a-w-	c:\program files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-02-20 19:28	59240	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]
2010-03-13 13:54	91520	----a-w-	c:\program files\Microsoft Office\Office14\BCSSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-11-12 23:24	421736	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06	254696	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [x]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [x]
S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [x]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [x]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\Drivers\StkCMini.sys [x]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
.
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Simson\AppData\Roaming\Mozilla\Firefox\Profiles\8pgrsis1.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-DealPly - c:\program files\DealPly\uninst.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-07-04  23:00:14
ComboFix-quarantined-files.txt  2012-07-04 21:00
.
Vor Suchlauf: 10 Verzeichnis(se), 94.236.413.952 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 99.934.040.064 Bytes frei
.
- - End Of File - - 0ED1730026D4EA8278D86FD69A3BF1E2

markusg · 04.07.2012, 22:30

öffne malwarebytes, poste bitte alle logs

Brucess · 04.07.2012, 23:19

habs vor kurzem erst installiert, aber noch nicht durchlaufen lassen.

Soll ich mal einen scan machen?

markusg · 05.07.2012, 17:33

ja, bitte updaten, vollständiger scan, log posten.

Brucess · 05.07.2012, 21:10

Code:

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.05.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Simson :: SIMON [Administrator]

05.07.2012 21:21:30
mbam-log-2012-07-05 (22-09-59).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 312936
Laufzeit: 47 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Simson\Documents\CryptLoad_1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Keine Aktion durchgeführt.
C:\Users\Simson\Documents\Ultra Key-Gen, Serial Sammlung Für Games\Ultra Key-Gen, Serial Sammlung\Key-Gens für mehrere Games\EA Keygens vol 1.exe (RiskWare.Tool.CK) -> Keine Aktion durchgeführt.
C:\Users\Simson\Documents\Ultra Key-Gen, Serial Sammlung Für Games\Ultra Key-Gen, Serial Sammlung\Key-Gens für mehrere Games\EA Keygens vol 2.exe (RiskWare.Tool.CK) -> Keine Aktion durchgeführt.

(Ende)

das kann ich dann löschen oder?

markusg · 06.07.2012, 21:21

C:\Users\Simson\Documents\Ultra Key-Gen, Serial Sammlung Für Games\Ultra Key-Gen, Serial Sammlung\Key-Gens für mehrere Games\EA Keygens vol 1.exe (RiskWare.Tool.CK)
die verwendung ist illegal, deswegen gibts hier hilfe biem neu aufsetzen und pc absichern.

Brucess · 06.07.2012, 21:43

Zitat:

Zitat von markusg

C:\Users\Simson\Documents\Ultra Key-Gen, Serial Sammlung Für Games\Ultra Key-Gen, Serial Sammlung\Key-Gens für mehrere Games\EA Keygens vol 1.exe (RiskWare.Tool.CK)
die verwendung ist illegal,

Wie du vielleicht am Inhalt meiner Daten erkannt hast, hab Ich das besagte programm nicht benutzt, da Ich sowieso nur eine (legale)Demo eines spieles besitze.

Zitat:

Zitat von markusg

...deswegen gibts hier hilfe biem neu aufsetzen und pc absichern.

was meinst du damit?

02.07.2012, 17:14	#4
markusg /// Malware-holic	Problem mit GVU/Bundespolizei- Trojaner bitte mal ohne script scannen. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

04.07.2012, 22:30	#10
markusg /// Malware-holic	Problem mit GVU/Bundespolizei- Trojaner öffne malwarebytes, poste bitte alle logs __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

05.07.2012, 17:33	#12
markusg /// Malware-holic	Problem mit GVU/Bundespolizei- Trojaner ja, bitte updaten, vollständiger scan, log posten. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Problem mit GVU/Bundespolizei- Trojaner

Plagegeister aller Art und deren Bekämpfung: Problem mit GVU/Bundespolizei- Trojaner