|
Plagegeister aller Art und deren Bekämpfung: GVU TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.01.2013, 19:02 | #1 |
| GVU Trojaner Hallo zusammen, Ich habe wohl seit gestern, nachdem ich mich mehrere Stunden informiert habe einen GVU Trojaner auf meinem Rechner. Mein Rechner ein win7 64 kann ich im Hauptbenutzer (Admin) zwar hochfahren werden aber es erscheint immer das Standbild. Im Nebenbenutzer fährt er ganz normal hoch und es scheint so als könnte ich alles benutzen außer das Internet, dieses ist ausgeschaltet. Also kann ich auch auf dem Rechner nichts herunterladen. Ich habe bereits den HitmanPro und den Malwarebytes durchlaufen lassen und diese haben nichts angezeigt. Nun muss ich zu meiner Schande gestehen, dass ich lediglich ein reiner Anwender bin und auch keine weitere Ahnung habe und ich immer davon ausgegangen bin das ich davon verschont bleibe, leider nur bis gestern. Ich benutze Avira AntiVirus bislang war dies kein Problem. Auf dem Standbild wird mir gesagt, dass nach 48h all meine Dateien gelöscht werden sollen. Ist dies so muss ich schnellstens Sicherungen herstellen? Ich bitte um Hilfe, vielen Dank! |
08.01.2013, 19:13 | #2 |
/// TB-Ausbilder | GVU Trojaner Das ist alles nur unnötige Panikmache. Keine Sorge und bloss nichts bezahlen!
__________________Das Hitman und das MBAM Logfile würden wir aber gerne noch sehen, bevor es los geht: So funktioniert es: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ |
08.01.2013, 20:19 | #3 |
| GVU Trojaner Hallo ryder,
__________________zunächst vielen Dank für die schnelle Antwort. Hier meine Lokfile: Code:
ATTFilter
Code:
ATTFilter Malwarebytes Anti-Malware (Trial) 1.70.0.1100 www.malwarebytes.org Database version: v2013.01.07.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Anna Lena :: RAINER-PC [limited] Protection: Enabled 07.01.2013 18:11:35 mbam-log-2013-01-07 (18-11-35).txt Scan type: Full scan (C:\|D:\|E:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 311363 Time elapsed: 14 minute(s), 54 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) |
08.01.2013, 20:25 | #4 |
/// TB-Ausbilder | GVU Trojaner Okay, machen wir es uns einfach: Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich. Bitte Lesen: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Gelesen und verstanden? Scan mit Farbar's Recovery Scan Tool
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
08.01.2013, 20:45 | #5 |
| GVU Trojaner Hallo ryder, Nach der F8 Taste und Computer reparieren kommt System Recovery Options ist das richtig? |
08.01.2013, 20:46 | #6 |
/// TB-Ausbilder | GVU Trojaner So stehts in der Anleitung
__________________ --> GVU Trojaner |
08.01.2013, 21:03 | #7 |
| GVU Trojaner Im notepad wird der USB nicht dargestellt. |
08.01.2013, 21:12 | #8 |
/// TB-Ausbilder | GVU Trojaner manchmal muss man ein wenig warten. Alternativ kannst du auch ausprobieren ob du den richtigen Stick raten kannst - fang bei d: an und arbeite dich hoch.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
08.01.2013, 21:52 | #9 |
| GVU Trojaner Hier der FRST.txt: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 31-12-2012 (ATTENTION: FRST version is 8 days old) Ran by SYSTEM at 08-01-2013 21:45:47 Running from I:\ Windows 7 Home Premium Service Pack 1 (X64) OS Language: English(US) The current controlset is ControlSet001 ==================== Registry (Whitelisted) =================== HKLM\...\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [12673128 2011-08-16] (Realtek Semiconductor) HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284440 2011-05-20] (Intel Corporation) HKLM-x32\...\Run: [NUSB3MON] "C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [113288 2011-04-14] (Renesas Electronics Corporation) HKLM-x32\...\Run: [CLMLServer] "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [107816 2010-08-03] (CyberLink) HKLM-x32\...\Run: [Inno Tilt] "C:\Program Files (x86)\Mouse Driver\Tilt.exe" /hide [729088 2009-07-30] () HKLM-x32\...\Run: [] [x] HKLM-x32\...\Run: [ApnUpdater] "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [x] HKLM-x32\...\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [384800 2012-12-19] (Avira Operations GmbH & Co. KG) HKLM-x32\...\Run: [LogMeIn Hamachi Ui] "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start [1996200 2012-08-29] (LogMeIn Inc.) HKLM-x32\...\Run: [emsisoft anti-malware] "c:\program files (x86)\emsisoft anti-malware\a2guard.exe" /d=60 [3364264 2012-10-17] (Emsisoft GmbH) HKU\Anna Lena\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2012-09-29] (Google Inc.) HKU\Default\...\RunOnce: [HKCU] C:\Windows\System32\oobe\info\HKCU.vbs [126 2009-11-12] () HKU\Default User\...\RunOnce: [HKCU] C:\Windows\System32\oobe\info\HKCU.vbs [126 2009-11-12] () HKU\Rainer\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2012-09-29] (Google Inc.) HKU\Rainer\...\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent [x] HKU\Rainer\...\Run: [svñhîst] %USERPROFILE%\6132281.exe [x] HKU\UpdatusUser\...\RunOnce: [HKCU] C:\Windows\System32\oobe\info\HKCU.vbs [126 2009-11-12] () Startup: C:\Users\All Users\Start Menu\Programs\Startup\watchmi tray.lnk ShortcutTarget: watchmi tray.lnk -> C:\Windows\Installer\{409DC300-28AF-468F-9624-1F3309701881}\SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe (Acresso Software Inc.) ==================== Services (Whitelisted) =================== 2 a2AntiMalware; "C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe" [3084688 2012-12-12] (Emsisoft GmbH) 2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [85280 2012-12-19] (Avira Operations GmbH & Co. KG) 2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [109344 2012-12-19] (Avira Operations GmbH & Co. KG) 2 AntiVirWebService; "C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE" [565024 2012-12-19] (Avira Operations GmbH & Co. KG) 2 HitmanProScheduler; C:\Program Files\HitmanPro\hmpsched.exe [108904 2013-01-07] (SurfRight B.V.) 2 MBAMScheduler; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe" [398184 2012-12-14] (Malwarebytes Corporation) 2 MBAMService; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe" [682344 2012-12-14] (Malwarebytes Corporation) 2 watchmi; "C:\Program Files (x86)\watchmi\TvdService.exe" [70144 2011-10-07] () ==================== Drivers (Whitelisted) ===================== 3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [66320 2012-04-30] (Emsisoft GmbH) 1 A2DDA; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [23208 2011-05-19] (Emsi Software GmbH) 1 a2injectiondriver; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2dix64.sys [44688 2012-04-30] (Emsisoft GmbH) 1 a2util; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2util64.sys [14720 2010-05-04] (Emsi Software GmbH) 2 atksgt; C:\Windows\System32\Drivers\atksgt.sys [314016 2012-12-02] () 2 avgntflt; C:\Windows\System32\Drivers\avgntflt.sys [99912 2012-12-19] (Avira Operations GmbH & Co. KG) 1 avipbb; C:\Windows\System32\Drivers\avipbb.sys [129216 2012-12-19] (Avira Operations GmbH & Co. KG) 1 avkmgr; C:\Windows\System32\Drivers\avkmgr.sys [27800 2012-09-23] (Avira Operations GmbH & Co. KG) 2 lirsgt; C:\Windows\System32\Drivers\lirsgt.sys [43680 2012-12-02] () 3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [24176 2012-12-14] (Malwarebytes Corporation) ==================== NetSvcs (Whitelisted) ==================== ==================== One Month Created Files and Folders ======== 2013-01-08 08:59 - 2013-01-08 08:59 - 00001095 ____A C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk 2013-01-08 08:58 - 2013-01-08 12:24 - 00000000 ____D C:\Program Files (x86)\Emsisoft Anti-Malware 2013-01-08 08:58 - 2013-01-08 12:23 - 00000000 ____D C:\Users\Rainer\Documents\Anti-Malware 2013-01-07 11:30 - 2013-01-07 11:30 - 00000119 ____A C:\Users\Anna Lena\AppData\Roaming\mbam.context.scan 2013-01-07 10:10 - 2013-01-08 12:17 - 00000672 ____A C:\Windows\setupact.log 2013-01-07 10:10 - 2013-01-07 10:10 - 00000000 ____A C:\Windows\setuperr.log 2013-01-07 09:59 - 2013-01-07 10:00 - 00000826 ____A C:\Users\Public\Desktop\CCleaner.lnk 2013-01-07 09:59 - 2013-01-07 10:00 - 00000000 ____D C:\Program Files\CCleaner 2013-01-07 08:26 - 2013-01-07 08:26 - 00000000 ____D C:\Users\Anna Lena\AppData\Roaming\Malwarebytes 2013-01-07 08:05 - 2013-01-07 08:05 - 00001113 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2013-01-07 08:05 - 2013-01-07 08:05 - 00000000 ____D C:\Users\Rainer\AppData\Roaming\Malwarebytes 2013-01-07 08:05 - 2013-01-07 08:05 - 00000000 ____D C:\Users\All Users\Malwarebytes 2013-01-07 08:05 - 2013-01-07 08:05 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-01-07 08:05 - 2012-12-14 07:49 - 00024176 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys 2013-01-07 05:51 - 2013-01-07 05:51 - 00027468 ____A C:\Windows\System32\.crusader 2013-01-07 05:47 - 2013-01-07 09:29 - 00000000 ____D C:\Program Files\HitmanPro 2013-01-07 05:47 - 2013-01-07 05:47 - 00001909 ____A C:\Users\Public\Desktop\HitmanPro.lnk 2013-01-07 05:43 - 2013-01-07 08:27 - 00000000 ____D C:\Users\All Users\HitmanPro 2013-01-07 01:03 - 2013-01-07 01:03 - 00033280 __RSH (Softspecialists) C:\Users\Rainer\6132281.exe 2012-12-23 02:15 - 2012-12-23 02:16 - 00000000 ____D C:\Users\Anna Lena\Documents\Weihnachten 2012-12-20 11:40 - 2012-12-16 09:11 - 00046080 ____A (Adobe Systems) C:\Windows\System32\atmlib.dll 2012-12-20 11:40 - 2012-12-16 06:45 - 00367616 ____A (Adobe Systems Incorporated) C:\Windows\System32\atmfd.dll 2012-12-20 11:40 - 2012-12-16 06:13 - 00295424 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\atmfd.dll 2012-12-20 11:40 - 2012-12-16 06:13 - 00034304 ____A (Adobe Systems) C:\Windows\SysWOW64\atmlib.dll 2012-12-17 08:05 - 2012-12-17 08:05 - 00003956 ____A C:\Users\Rainer\Downloads\Ihre_Gmail-Adresse,_omegakramps@gmail.com,_wurde_erstellt..txt 2012-12-14 15:01 - 2012-11-13 23:06 - 17811968 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2012-12-14 15:01 - 2012-11-13 22:32 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2012-12-14 15:01 - 2012-11-13 22:11 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll 2012-12-14 15:01 - 2012-11-13 22:04 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2012-12-14 15:01 - 2012-11-13 22:04 - 01346048 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2012-12-14 15:01 - 2012-11-13 22:02 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl 2012-12-14 15:01 - 2012-11-13 22:02 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2012-12-14 15:01 - 2012-11-13 21:59 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2012-12-14 15:01 - 2012-11-13 21:58 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll 2012-12-14 15:01 - 2012-11-13 21:57 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll 2012-12-14 15:01 - 2012-11-13 21:57 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe 2012-12-14 15:01 - 2012-11-13 21:55 - 02144768 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2012-12-14 15:01 - 2012-11-13 21:55 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll 2012-12-14 15:01 - 2012-11-13 21:53 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2012-12-14 15:01 - 2012-11-13 21:52 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2012-12-14 15:01 - 2012-11-13 21:46 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2012-12-14 15:01 - 2012-11-13 18:48 - 12320256 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll 2012-12-14 15:01 - 2012-11-13 18:14 - 09738240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll 2012-12-14 15:01 - 2012-11-13 18:09 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll 2012-12-14 15:01 - 2012-11-13 17:58 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl 2012-12-14 15:01 - 2012-11-13 17:57 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll 2012-12-14 15:01 - 2012-11-13 17:57 - 01103872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll 2012-12-14 15:01 - 2012-11-13 17:55 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll 2012-12-14 15:01 - 2012-11-13 17:51 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll 2012-12-14 15:01 - 2012-11-13 17:49 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll 2012-12-14 15:01 - 2012-11-13 17:49 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe 2012-12-14 15:01 - 2012-11-13 17:48 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll 2012-12-14 15:01 - 2012-11-13 17:47 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll 2012-12-14 15:01 - 2012-11-13 17:46 - 01793024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll 2012-12-14 15:01 - 2012-11-13 17:45 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll 2012-12-14 15:01 - 2012-11-13 17:44 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb 2012-12-14 15:01 - 2012-11-13 17:41 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll 2012-12-14 11:34 - 2012-11-21 19:26 - 03149824 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys 2012-12-14 11:34 - 2012-11-08 21:45 - 00002048 ____A (Microsoft Corporation) C:\Windows\System32\tzres.dll 2012-12-14 11:34 - 2012-11-08 20:42 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\tzres.dll 2012-12-14 11:34 - 2012-11-01 21:59 - 00478208 ____A (Microsoft Corporation) C:\Windows\System32\dpnet.dll 2012-12-14 11:34 - 2012-11-01 21:11 - 00376832 ____A (Microsoft Corporation) C:\Windows\SysWOW64\dpnet.dll 2012-12-14 11:34 - 2012-10-04 09:46 - 00362496 ____A (Microsoft Corporation) C:\Windows\System32\wow64win.dll 2012-12-14 11:34 - 2012-10-04 09:46 - 00243200 ____A (Microsoft Corporation) C:\Windows\System32\wow64.dll 2012-12-14 11:34 - 2012-10-04 09:46 - 00013312 ____A (Microsoft Corporation) C:\Windows\System32\wow64cpu.dll 2012-12-14 11:34 - 2012-10-04 09:45 - 00215040 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll 2012-12-14 11:34 - 2012-10-04 09:43 - 00016384 ____A (Microsoft Corporation) C:\Windows\System32\ntvdm64.dll 2012-12-14 11:34 - 2012-10-04 09:41 - 01161216 ____A (Microsoft Corporation) C:\Windows\System32\kernel32.dll 2012-12-14 11:34 - 2012-10-04 09:41 - 00424960 ____A (Microsoft Corporation) C:\Windows\System32\KernelBase.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00005120 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 09:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:47 - 01114112 ____A (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll 2012-12-14 11:34 - 2012-10-04 08:47 - 00274944 ____A (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll 2012-12-14 11:34 - 2012-10-04 08:47 - 00005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00005120 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 08:40 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 07:21 - 00338432 ____A (Microsoft Corporation) C:\Windows\System32\conhost.exe 2012-12-14 11:34 - 2012-10-04 06:46 - 00025600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe 2012-12-14 11:34 - 2012-10-04 06:46 - 00014336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll 2012-12-14 11:34 - 2012-10-04 06:46 - 00007680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe 2012-12-14 11:34 - 2012-10-04 06:46 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\user.exe 2012-12-14 11:34 - 2012-10-04 06:41 - 00006144 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 06:41 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 06:41 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll 2012-12-14 11:34 - 2012-10-04 06:41 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll ==================== One Month Modified Files and Folders ======= 2013-01-08 12:24 - 2013-01-08 08:58 - 00000000 ____D C:\Program Files (x86)\Emsisoft Anti-Malware 2013-01-08 12:24 - 2012-09-29 07:17 - 01099282 ____A C:\Windows\WindowsUpdate.log 2013-01-08 12:24 - 2009-07-13 20:45 - 00017152 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2013-01-08 12:24 - 2009-07-13 20:45 - 00017152 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2013-01-08 12:23 - 2013-01-08 08:58 - 00000000 ____D C:\Users\Rainer\Documents\Anti-Malware 2013-01-08 12:21 - 2011-05-16 06:04 - 00654006 ____A C:\Windows\System32\perfh007.dat 2013-01-08 12:21 - 2011-05-16 06:04 - 00129878 ____A C:\Windows\System32\perfc007.dat 2013-01-08 12:21 - 2009-07-13 21:13 - 01498506 ____A C:\Windows\System32\PerfStringBackup.INI 2013-01-08 12:17 - 2013-01-07 10:10 - 00000672 ____A C:\Windows\setupact.log 2013-01-08 12:17 - 2012-10-30 11:57 - 00000000 ____D C:\Users\Rainer\AppData\Local\LogMeIn Hamachi 2013-01-08 12:17 - 2012-09-29 07:21 - 00000000 ____D C:\users\Rainer 2013-01-08 12:17 - 2012-09-29 07:18 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2013-01-08 12:17 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2013-01-08 11:37 - 2012-09-29 07:18 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2013-01-08 10:42 - 2012-11-02 01:56 - 00000000 ____D C:\Users\Anna Lena\AppData\Local\LogMeIn Hamachi 2013-01-08 09:04 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\System32\NDF 2013-01-08 08:59 - 2013-01-08 08:59 - 00001095 ____A C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk 2013-01-07 11:30 - 2013-01-07 11:30 - 00000119 ____A C:\Users\Anna Lena\AppData\Roaming\mbam.context.scan 2013-01-07 10:44 - 2009-07-13 19:20 - 00000000 ____D C:\Program Files\Common Files\Microsoft Shared 2013-01-07 10:10 - 2013-01-07 10:10 - 00000000 ____A C:\Windows\setuperr.log 2013-01-07 10:02 - 2011-07-18 12:54 - 00000000 ____D C:\Windows\Panther 2013-01-07 10:00 - 2013-01-07 09:59 - 00000826 ____A C:\Users\Public\Desktop\CCleaner.lnk 2013-01-07 10:00 - 2013-01-07 09:59 - 00000000 ____D C:\Program Files\CCleaner 2013-01-07 09:29 - 2013-01-07 05:47 - 00000000 ____D C:\Program Files\HitmanPro 2013-01-07 08:27 - 2013-01-07 05:43 - 00000000 ____D C:\Users\All Users\HitmanPro 2013-01-07 08:26 - 2013-01-07 08:26 - 00000000 ____D C:\Users\Anna Lena\AppData\Roaming\Malwarebytes 2013-01-07 08:05 - 2013-01-07 08:05 - 00001113 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2013-01-07 08:05 - 2013-01-07 08:05 - 00000000 ____D C:\Users\Rainer\AppData\Roaming\Malwarebytes 2013-01-07 08:05 - 2013-01-07 08:05 - 00000000 ____D C:\Users\All Users\Malwarebytes 2013-01-07 08:05 - 2013-01-07 08:05 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware 2013-01-07 05:51 - 2013-01-07 05:51 - 00027468 ____A C:\Windows\System32\.crusader 2013-01-07 05:47 - 2013-01-07 05:47 - 00001909 ____A C:\Users\Public\Desktop\HitmanPro.lnk 2013-01-07 01:03 - 2013-01-07 01:03 - 00033280 __RSH (Softspecialists) C:\Users\Rainer\6132281.exe 2012-12-23 02:16 - 2012-12-23 02:15 - 00000000 ____D C:\Users\Anna Lena\Documents\Weihnachten 2012-12-23 01:41 - 2009-07-13 21:08 - 00032612 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2012-12-21 01:27 - 2009-07-13 20:45 - 00362960 ____A C:\Windows\System32\FNTCACHE.DAT 2012-12-20 10:22 - 2012-09-30 07:43 - 00000000 ____D C:\Users\Rainer\Documents\Anke 2012-12-20 10:14 - 2012-09-30 07:39 - 00000000 ____D C:\Users\Rainer\Documents\Rainer 2012-12-19 07:49 - 2012-09-30 01:19 - 00129216 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys 2012-12-19 07:49 - 2012-09-30 01:19 - 00099912 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys 2012-12-17 08:05 - 2012-12-17 08:05 - 00003956 ____A C:\Users\Rainer\Downloads\Ihre_Gmail-Adresse,_omegakramps@gmail.com,_wurde_erstellt..txt 2012-12-16 09:11 - 2012-12-20 11:40 - 00046080 ____A (Adobe Systems) C:\Windows\System32\atmlib.dll 2012-12-16 06:45 - 2012-12-20 11:40 - 00367616 ____A (Adobe Systems Incorporated) C:\Windows\System32\atmfd.dll 2012-12-16 06:13 - 2012-12-20 11:40 - 00295424 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\atmfd.dll 2012-12-16 06:13 - 2012-12-20 11:40 - 00034304 ____A (Adobe Systems) C:\Windows\SysWOW64\atmlib.dll 2012-12-14 15:02 - 2011-07-18 12:31 - 67413224 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe 2012-12-14 11:37 - 2012-09-29 07:18 - 00002712 ____A C:\Users\Public\Desktop\Google Chrome.lnk 2012-12-14 07:49 - 2013-01-07 08:05 - 00024176 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys ==================== Known DLLs (Whitelisted) ================= ==================== Bamital & volsnap Check ================= C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\SysWOW64\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ==================== Restore Points ========================= Restore point made on: 2013-01-08 11:31:22 ==================== Memory info =========================== Percentage of memory in use: 8% Total physical RAM: 12264.17 MB Available physical RAM: 11253.51 MB Total Pagefile: 12262.37 MB Available Pagefile: 11283.9 MB Total Virtual: 8192 MB Available Virtual: 8191.89 MB ==================== Partitions ============================= 1 Drive c: (Boot) (Fixed) (Total:58.53 GB) (Free:1 GB) NTFS 2 Drive d: (Data) (Fixed) (Total:1813.01 GB) (Free:1784.09 GB) NTFS 3 Drive f: (Recover) (Fixed) (Total:50 GB) (Free:30.69 GB) NTFS 6 Drive i: () (Removable) (Total:7.47 GB) (Free:6.5 GB) FAT32 7 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS 8 Drive y: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)] Disk ### Status Size Free Dyn Gpt -------- ------------- ------- ------- --- --- Disk 0 Online 59 GB 0 B Disk 1 Online 1863 GB 0 B Disk 2 No Media 0 B 0 B Disk 3 Online 7711 MB 0 B Partitions of Disk 0: =============== Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 Primary 100 MB 1024 KB Partition 2 Primary 58 GB 101 MB Partition 3 OEM 1024 MB 58 GB ================================================================================== Disk: 0 Partition 1 Type : 07 Hidden: No Active: Yes Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 1 Y NTFS Partition 100 MB Healthy ========================================================= Disk: 0 Partition 2 Type : 07 Hidden: No Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 2 C Boot NTFS Partition 58 GB Healthy ========================================================= Disk: 0 Partition 3 Type : 12 Hidden: Yes Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 7 NTFS Partition 1024 MB Healthy Hidden ========================================================= Partitions of Disk 1: =============== Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 Primary 1813 GB 1024 KB Partition 2 Primary 50 GB 1813 GB ================================================================================== Disk: 1 Partition 1 Type : 07 Hidden: No Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 3 D Data NTFS Partition 1813 GB Healthy ========================================================= Disk: 1 Partition 2 Type : 07 Hidden: No Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 4 F Recover NTFS Partition 50 GB Healthy ========================================================= Partitions of Disk 3: =============== Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 Primary 7655 MB 22 KB ================================================================================== Disk: 3 Partition 1 Type : 0B Hidden: No Active: No Volume ### Ltr Label Fs Type Size Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 6 I FAT32 Removable 7655 MB Healthy ========================================================= Last Boot: 2013-01-08 11:24 ==================== End Of Log ============================= |
09.01.2013, 14:20 | #10 |
/// TB-Ausbilder | GVU Trojaner Dann entsperren wir mal: Fix mit FRST
Berichte ob du normal booten kannst.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
09.01.2013, 17:16 | #11 |
| GVU Trojaner Nach drücken der Tasten erscheint: "Rnotepad is not recognized as an........." Drücke ich die falsche Tastenreihenfolge |
09.01.2013, 17:18 | #12 |
/// TB-Ausbilder | GVU Trojaner Rnotepad sollst du ja auch nicht schreiben.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
09.01.2013, 17:55 | #13 |
| GVU Trojaner Hier der FixLog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 31-12-2012 Ran by SYSTEM at 2013-01-09 17:49:55 Run:1 Running from I:\ ============================================== HKEY_USERS\Rainer\Software\Microsoft\Windows\CurrentVersion\Run\\svñhîst Value deleted successfully. HKEY_USERS\UpdatusUser\Software\Microsoft\Windows\CurrentVersion\RunOnce\\HKCU Value deleted successfully. ==== End of Fixlog ==== Geändert von Nanni-5 (09.01.2013 um 18:11 Uhr) |
09.01.2013, 18:18 | #14 | |
/// TB-Ausbilder | GVU Trojaner Sehr gut, dann müssen wir mal weiter machen: Schritt 1: Deinstallation von Programmen Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Schritt 3: Temporäre Dateien löschen mit TFC Schritt 4: Scan mit Combofix
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
09.01.2013, 19:01 | #15 |
| GVU Trojaner Habe Schritt 1 - 4 durchgeführt. Hier die Logdatei von AdwCleaner: Code:
ATTFilter # AdwCleaner v2.105 - Datei am 09/01/2013 um 18:31:03 erstellt # Aktualisiert am 08/01/2013 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits) # Benutzer : Rainer - RAINER-PC # Bootmodus : Normal # Ausgeführt unter : G:\adwcleaner-1.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gelöscht : C:\ProgramData\Partner Ordner Gelöscht : C:\Users\Rainer\AppData\Local\APN ***** [Registrierungsdatenbank] ***** Code:
ATTFilter Combofix Logfile: |
Themen zu GVU Trojaner |
admin, ahnung, antivirus, avira, benutzer, bleibe, dateien, dateien gelöscht, erscheint, gelöscht, gen, gestern, gvu-trojaner, hallo zusammen, herstellen, hochfahren, interne, internet, malwarebytes, nichts, stunden, troja, trojaner, win, win7, win7 64, zusammen |