GVU Trojaner - Hier der OT-Log

Allanon · 04.07.2012, 12:39

Hallo,

habe seit heute den GVU Trojaner. Bis jetzt unter Quarantäne mit Malewarebytes.

Hier der Log.

Vielen Dank und Gruß,
A.

Allanon · 04.07.2012, 13:46

jmd. ne idee?

markusg · 04.07.2012, 20:12

hi
schon mal auf die idee gekommen, das du nicht der einzige hier bist.
wenn es dir nicht schnell genug geht, geh in ein pc geschäft und zahle für die reinigung.

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
[2012.07.04 11:04:30 | 000,001,887 | ---- | M] () -- C:\Users\Allanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

 :Files
:Commands
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

falls das geklappt hatt:
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
danach malware bytes öffnen berichte, alle logs posten

Allanon · 05.07.2012, 09:01

Vielen Dank Markus,

als Text kamen nur 2 Desktop.ini

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

Im cache ordner war ein virus, nach entfernen konnte ich ihn packen.

Log Malware

arebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.04.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Allanon :: ALLANON-PC [Administrator]

Schutz: Aktiviert

04.07.2012 13:19:52
mbam-log-2012-07-04 (13-19-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 206280
Laufzeit: 1 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Users\Allanon\AppData\Local\Temp\roper0dun.exe (Trojan.Agent) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Allanon\AppData\Local\Temp\roper0dun.exe (Trojan.Agent) -> Löschen bei Neustart.

(Ende)
Danke,

Vg,
A.

markusg · 06.07.2012, 18:01

lösche mal die desktop.ini's

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Allanon · 09.07.2012, 09:52

Hallo Markus,

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-07-08.01 - Allanon 09.07.2012  10:34:04.1.4 - x64
Microsoft Windows 7 Enterprise   6.1.7601.1.1252.49.1031.18.8190.5903 [GMT 2:00]
ausgeführt von:: c:\users\Allanon\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\program files (x86)\Babylon Toolbar\tbHElper.dll
c:\windows\security\Database\tmp.edb
.
Infizierte Kopie von c:\windows\SysWow64\userinit.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-09 bis 2012-07-09  ))))))))))))))))))))))))))))))
.
.
2012-07-06 07:16 . 2012-05-31 04:04	9013136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{5CAC6EC5-DEFB-4856-B75E-7C996BAD781E}\mpengine.dll
2012-07-05 15:35 . 2012-07-05 15:35	--------	d-----w-	c:\program files (x86)\Common Files\Java
2012-07-05 15:35 . 2012-07-05 15:35	--------	d-----w-	c:\program files (x86)\Oracle
2012-07-05 15:34 . 2012-07-05 15:34	--------	d-----w-	c:\program files (x86)\Java
2012-07-05 07:40 . 2012-07-05 07:40	--------	d-----w-	C:\_OTL
2012-07-04 11:54 . 2012-07-04 12:10	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-07-04 09:51 . 2012-07-04 09:52	--------	d-----w-	c:\users\Allanon\AppData\Roaming\ImgBurn
2012-07-04 09:47 . 2012-07-04 09:48	--------	d-----w-	c:\users\Allanon\AppData\Roaming\GetRightToGo
2012-07-04 09:42 . 2012-07-04 09:42	--------	d-----w-	c:\program files (x86)\ImgBurn
2012-07-04 09:32 . 2012-07-04 09:32	--------	d-----w-	c:\users\Allanon\AppData\Roaming\Malwarebytes
2012-07-04 09:32 . 2012-07-04 09:32	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-04 09:32 . 2012-07-04 09:32	--------	d-----w-	c:\programdata\Malwarebytes
2012-07-04 09:32 . 2012-04-04 13:56	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-30 09:53 . 2012-06-30 10:13	--------	d-----w-	c:\program files (x86)\Common Files\Steam
2012-06-30 09:53 . 2012-07-05 13:20	--------	d-----w-	c:\program files (x86)\Steam
2012-06-21 16:52 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-21 16:52 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-21 16:52 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-21 16:52 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-21 16:52 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-21 16:52 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-21 16:52 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-21 16:52 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-21 16:52 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-15 09:40 . 2012-06-15 09:40	--------	d-----w-	c:\program files\iTunes
2012-06-15 09:40 . 2012-06-15 09:40	--------	d-----w-	c:\program files (x86)\iTunes
2012-06-15 09:40 . 2012-06-15 09:40	--------	d-----w-	c:\program files\iPod
2012-06-12 22:22 . 2012-04-26 05:41	77312	----a-w-	c:\windows\system32\rdpwsx.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-09 08:42 . 2012-05-05 11:42	25640	----a-w-	c:\windows\gdrv.sys
2012-07-05 15:36 . 2012-05-05 12:13	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-05 15:36 . 2012-05-05 12:13	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-05-22 17:41 . 2012-05-22 17:41	163048	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10141.bin
2012-05-10 20:17 . 2009-07-14 02:36	175616	----a-w-	c:\windows\system32\msclmd.dll
2012-05-10 20:17 . 2009-07-14 02:36	152576	----a-w-	c:\windows\SysWow64\msclmd.dll
2012-05-08 18:38 . 2012-05-08 18:39	955848	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-05-08 18:38 . 2012-05-08 18:39	839112	----a-w-	c:\windows\system32\deployJava1.dll
2012-05-08 08:15 . 2012-05-08 08:14	283200	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2012-05-08 07:39 . 2012-05-05 11:45	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-08 07:39 . 2012-05-05 11:45	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-05 18:17 . 2012-05-05 18:17	86528	----a-w-	c:\windows\SysWow64\iesysprep.dll
2012-05-05 18:17 . 2012-05-05 18:17	76800	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2012-05-05 18:17 . 2012-05-05 18:17	74752	----a-w-	c:\windows\SysWow64\RegisterIEPKEYs.exe
2012-05-05 18:17 . 2012-05-05 18:17	63488	----a-w-	c:\windows\SysWow64\tdc.ocx
2012-05-05 18:17 . 2012-05-05 18:17	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2012-05-05 18:17 . 2012-05-05 18:17	367104	----a-w-	c:\windows\SysWow64\html.iec
2012-05-05 18:17 . 2012-05-05 18:17	161792	----a-w-	c:\windows\SysWow64\msls31.dll
2012-05-05 18:17 . 2012-05-05 18:17	110592	----a-w-	c:\windows\SysWow64\IEAdvpack.dll
2012-05-05 18:17 . 2012-05-05 18:17	91648	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-05-05 18:17 . 2012-05-05 18:17	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-05-05 18:17 . 2012-05-05 18:17	85504	----a-w-	c:\windows\system32\iesetup.dll
2012-05-05 18:17 . 2012-05-05 18:17	76800	----a-w-	c:\windows\system32\tdc.ocx
2012-05-05 18:17 . 2012-05-05 18:17	74752	----a-w-	c:\windows\SysWow64\iesetup.dll
2012-05-05 18:17 . 2012-05-05 18:17	603648	----a-w-	c:\windows\system32\vbscript.dll
2012-05-05 18:17 . 2012-05-05 18:17	49664	----a-w-	c:\windows\system32\imgutil.dll
2012-05-05 18:17 . 2012-05-05 18:17	48640	----a-w-	c:\windows\system32\mshtmler.dll
2012-05-05 18:17 . 2012-05-05 18:17	448512	----a-w-	c:\windows\system32\html.iec
2012-05-05 18:17 . 2012-05-05 18:17	420864	----a-w-	c:\windows\SysWow64\vbscript.dll
2012-05-05 18:17 . 2012-05-05 18:17	35840	----a-w-	c:\windows\SysWow64\imgutil.dll
2012-05-05 18:17 . 2012-05-05 18:17	30720	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-05 18:17 . 2012-05-05 18:17	23552	----a-w-	c:\windows\SysWow64\licmgr10.dll
2012-05-05 18:17 . 2012-05-05 18:17	222208	----a-w-	c:\windows\system32\msls31.dll
2012-05-05 18:17 . 2012-05-05 18:17	165888	----a-w-	c:\windows\system32\iexpress.exe
2012-05-05 18:17 . 2012-05-05 18:17	160256	----a-w-	c:\windows\system32\wextract.exe
2012-05-05 18:17 . 2012-05-05 18:17	152064	----a-w-	c:\windows\SysWow64\wextract.exe
2012-05-05 18:17 . 2012-05-05 18:17	150528	----a-w-	c:\windows\SysWow64\iexpress.exe
2012-05-05 18:17 . 2012-05-05 18:17	135168	----a-w-	c:\windows\system32\IEAdvpack.dll
2012-05-05 18:17 . 2012-05-05 18:17	12288	----a-w-	c:\windows\system32\mshta.exe
2012-05-05 18:17 . 2012-05-05 18:17	11776	----a-w-	c:\windows\SysWow64\mshta.exe
2012-05-05 18:17 . 2012-05-05 18:17	114176	----a-w-	c:\windows\system32\admparse.dll
2012-05-05 18:17 . 2012-05-05 18:17	111616	----a-w-	c:\windows\system32\iesysprep.dll
2012-05-05 18:17 . 2012-05-05 18:17	101888	----a-w-	c:\windows\SysWow64\admparse.dll
2012-05-04 17:29 . 2012-05-08 15:55	772504	----a-w-	c:\windows\SysWow64\npDeployJava1.dll
2012-04-26 12:48 . 2012-04-26 12:48	71680	----a-w-	c:\windows\system32\frapsv64.dll
2012-04-26 12:48 . 2012-04-26 12:48	65536	----a-w-	c:\windows\SysWow64\frapsvid.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{41B62AD3-5D43-40D1-9D43-F3539C1DB452}"= "c:\program files (x86)\Babylon Toolbar\tbcore3.dll" [2012-04-24 2664448]
.
[HKEY_CLASSES_ROOT\clsid\{41b62ad3-5d43-40d1-9d43-f3539c1db452}]
[HKEY_CLASSES_ROOT\TBSB02188.TBSB02188.3]
[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
[HKEY_CLASSES_ROOT\TBSB02188.TBSB02188]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Allanon\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Allanon\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Allanon\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2012-05-05 39408]
"X-Lite 4"="c:\program files (x86)\CounterPath\X-Lite 4\X-Lite4.exe" [2011-08-08 3789696]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-04-17 3671872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"AMD AVT"="start AMD Accelerated Video Transcoding device initialization" [X]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-01-19 43632]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-04-05 641664]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
c:\users\Allanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Allanon\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 gupdate;Google Update-Dienst (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 AppleChargerSrv;AppleChargerSrv;c:\windows\system32\AppleChargerSrv.exe [x]
R3 Futuremark SystemInfo Service;Futuremark SystemInfo Service;c:\program files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe [x]
R3 GPU-Z;GPU-Z;c:\users\Allanon\AppData\Local\Temp\GPU-Z.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [x]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S1 AppleCharger;AppleCharger;c:\windows\system32\DRIVERS\AppleCharger.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [x]
S2 AODDriver4.1;AODDriver4.1;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
S2 ES lite Service;ES lite Service for program management.;c:\program files (x86)\Gigabyte\EasySaver\ESSVR.EXE [x]
S2 JMB36X;JMB36X;c:\windows\SysWOW64\XSrvSetup.exe [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [x]
S2 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [x]
S2 PhenomMsrTweaker;PhenomMsrTweaker service;c:\program files\PhenomMsrTweaker\PhenomMsrTweakerService.exe [x]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 WinRing0_1_2_0;WinRing0_1_2_0;c:\program files\PhenomMsrTweaker\WinRing0x64.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-05 15:36]
.
2012-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-05-05 11:55]
.
2012-07-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-05-05 11:55]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Allanon\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Allanon\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Allanon\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Allanon\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-04-06 10144288]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://search.babylon.com/?affID=110819&tl=gbn193047&tt=290412_2_bst&babsrc=HP_ss&mntrId=744cd4e40000000000001c6f658f0c9e
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Allanon\AppData\Roaming\Mozilla\Firefox\Profiles\j8p4d67e.default\
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-09  10:46:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-07-09 08:46
.
Vor Suchlauf: 11 Verzeichnis(se), 240.439.504.896 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 242.567.114.752 Bytes frei
.
- - End Of File - - CB618EA50E3FD2392CAF093C3E57302D

--- --- ---

markusg · 09.07.2012, 10:27

hi
lade den CCleaner standard:
CCleaner Download - CCleaner 3.20.1750
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Allanon · 09.07.2012, 10:54

hi markus,

vielen dank.

war mir jetzt nicht so ganz sicher, ob mit unnötig, nötig usw. Systemrelevante Programme gemeint waren.

3CXPhone 3CX 08.05.2012 25,3MB 4.0.15207.0 unbekannt
3DMark 11 Futuremark Corporation 11.05.2012 1.0.3 unnötig
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 05.07.2012 6,00MB 11.3.300.257 unnötig
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 25.06.2012 6,00MB 11.3.300.262 unnötig
Adobe Reader X (10.1.3) - Deutsch Adobe Systems Incorporated 08.05.2012 121MB 10.1.3 unnötig
AMD Catalyst Install Manager Advanced Micro Devices, Inc. 05.05.2012 26,2MB 8.0.873.0 unnötig
Apple Application Support Apple Inc. 15.06.2012 61,0MB 2.1.9 unnötig
Apple Mobile Device Support Apple Inc. 15.06.2012 24,9MB 5.2.0.6 unnötig
Apple Software Update Apple Inc. 08.05.2012 2,38MB 2.1.3.127 unnötig
Avira Free Antivirus Avira 08.05.2012 109MB 12.0.0.1125 unnötig
Babylon Toolbar Softomate 08.05.2012 1.3.5 unnötig
Battlefield 3™ Electronic Arts 11.05.2012 1.0.0.0 unnötig
Bonjour Apple Inc. 08.05.2012 2,00MB 3.0.0.10 unnötig
CCleaner Piriform 22.06.2012 3.20 unnötig
DAEMON Tools Lite DT Soft Ltd 08.05.2012 4.45.4.0315 unnötig
Dropbox Dropbox, Inc. 26.05.2012 1.4.7 notwendig
EasySaver B9.1214.1 Gigabyte 05.05.2012 1.00.0000 unnötig
Fraps 14.05.2012 unnötig
Futuremark SystemInfo Futuremark Corporation 11.05.2012 4.6.0 unnötig
Gigabyte Raid Configurer GIGABYTE Technologies, Inc. 05.05.2012 1.00.0001 notwendig
Google Earth Google 10.05.2012 107MB 6.2.2.6613 unnötig
Google Toolbar for Internet Explorer Google Inc. 05.05.2012 7.3.2710.138 unnötig
Half-Life Valve 30.06.2012 unnötig
ImgBurn LIGHTNING UK! 04.07.2012 2.5.7.0 unnötig
iTunes Apple Inc. 15.06.2012 182MB 10.6.3.25 unnötig
Java(TM) 7 Update 5 Oracle 05.07.2012 99,3MB 7.0.50 notwendig
JavaFX 2.1.1 Oracle Corporation 05.07.2012 20,8MB 2.1.1 notwendig
JDownloader 0.9 AppWork GmbH 08.05.2012 0.9 unnötig
Malwarebytes Anti-Malware Version 1.61.0.1400 Malwarebytes Corporation 04.07.2012 18,0MB 1.61.0.1400 unnötig
Max Payne 3 Rockstar Games 02.06.2012 1.0.0.0 unnötig
MediaInfo 0.7.57 MediaArea.net 09.05.2012 12,9MB 0.7.57 unnötig
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 14.09.2010 38,8MB 4.0.30319 unnötig
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 14.09.2010 2,93MB 4.0.30319 unnötig
Microsoft Office Professional Plus 2010 Microsoft Corporation 09.05.2012 14.0.6029.1000 unnötig
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 26.05.2012 298KB 8.0.61001 unnötig
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 Microsoft Corporation 04.06.2012 788KB 9.0.30729 unnötig
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 Microsoft Corporation 06.06.2012 788KB 9.0.30729.6161 unnötig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411 Microsoft Corporation 04.06.2012 1,46MB 9.0.30411 unnötig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 08.05.2012 596KB 9.0.30729 unnötig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 25.05.2012 224KB 9.0.30729.4148 unnötig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 10.05.2012 600KB 9.0.30729.6161 unnötig
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 Microsoft Corporation 26.05.2012 15,2MB 10.0.40219 unnötig
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 09.05.2012 16,5MB 10.0.40219 unnötig
MKVtoolnix 4.0.0 Moritz Bunkus 08.05.2012 4.0.0 unnötig
Nero Burning ROM 11 Nero AG 25.05.2012 265MB 11.0.10400 unnötig
Nero Prerequisite Installer 1.0 Nero AG 25.05.2012 1,00MB 11.0.11500 unnötig
Nightly 16.0a1 (x64 en-US) Mozilla 06.07.2012 45,4MB 16.0a1 unbekannt
ON_OFF Charge B10.0427.1 GIGABYTE 05.05.2012 1.00.0001 unbekannt
OpenOffice.org 3.4 OpenOffice.org 04.06.2012 327MB 3.4.9590 unnötig
PhenomMsrTweaker Martin Kinkelin 05.05.2012 421KB 2.0.4 notwendig
PhonerLite 1.98 Heiko Sommerfeldt 08.05.2012 11,4MB 1.98 unnötig
Realtek Ethernet Controller Driver For Windows 7 Realtek 05.05.2012 7.18.322.2010 notwendig
Realtek HDMI Audio Driver for ATI Realtek Semiconductor Corp. 05.05.2012 6.0.1.6034 notwendig
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 05.05.2012 6.0.1.6083 notwendig
Renesas Electronics USB 3.0 Host Controller Driver Renesas Electronics Corporation 07.06.2012 1,00MB 2.0.30.0 notwendig
Rockstar Games Social Club Rockstar Games 02.06.2012 1.0.9.5 unnötig
Rosetta Stone Version 3 Rosetta Stone Ltd. 09.05.2012 120MB 3.4.5.0 unnötig
Steam Valve Corporation 30.06.2012 35,4MB 1.0.0.0 unnötig
VLC media player 2.0.1 VideoLAN 09.05.2012 2.0.1 unnötig
WinRAR 4.11 (64-Bit) win.rar GmbH 09.05.2012 4.11.0 unnötig
X-Lite 4 CounterPath Corporation 08.05.2012 57,5MB 41.6.3214 notwendig
Zoiper Attractel 08.05.2012 2.37 notwendig

markusg · 09.07.2012, 10:59

deinstaliere:
3DMark
apple: alle
bist du sicher das flash player und adobe reaer unnötig sind, falls ja, weg, falls nein:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Babylon
Battlefield
DAEMON Tools
EasySaver
Fraps
Futuremark
Google : beide
Half-Life
ImgBurn
iTunes
JDownloader
Max Payne
MediaInfo
Nero : beide
Nightly (beta von firefox)? falls nicht verwendet, weg.
OpenOffice
PhonerLite
Rockstar
Rosetta
Steam
VLC

öffne ccleaner, analysieren CCleaner starten, öffne otl, cleanup, pc startet neu, testen wie er läuft

GVU Trojaner - Hier der OT-Log

Log-Analyse und Auswertung: GVU Trojaner - Hier der OT-Log