Laptop wurde vom GVU Virus/Trojaner befallen

ryder · 27.01.2013, 12:39

Ja das kann man schon machen.

Aber gleich mal eines vorneweg. Du hast es da mit einer sehr komplizierten Mehrfachinfektion zu tun. Der GVU war wirklich nur das Sahnehäubchen. Wir werden da noch eine Weile brauchen um das zu entsperren.

Downloade dir bitte zuvor Mbrfix
Download MBRFix 1.3.0.0 Free - Fix or create Master Boot Record (MBR) on harddisks - Softpedia

und speichere es auch auf dem Stick neben FRST

Mache bitte folgenden Fix, der sollte die Logdateien kopieren:

Code:

ATTFilter

CMD: copy /y c:\windows\minidump\*.dmp h:\
CMD: copy /y C:\Users\Michael\Desktop\HitmanPro_20130125_1356.log h:\
CMD: copy /y C:\Users\Michael\Desktop\HitmanPro_20130125_1355.log h:\
CMD: copy /y C:\Users\Admin\Desktop\HitmanPro_20130125_1356.log h:\
SaveMbr: Drive=0

Auf dem Stick sollte sich nun das minidump und ein MBRdump befinden. Den minidump bitte mal nur behalten. Den MBRdump bitte in ein ZIP packen und hier anhängen zur Analyse.

Die Hitman logfiles bitte in Code-Tags posten. Dann sehen wir hoffentlich weiter

Ihatevira · 27.01.2013, 16:48

Also ich habe jetzt MbrFix von dort runtergeladen. Das ist ja gepackt. Dann habe ich das auf dem Stick entpackt und dann erst mal die htm-Datei gelöscht. Muss ich den Code den du mir geschrieben hast in ein Textfile kopieren oder muss ich ihn so in die Eingabeaufforderung eingeben? oder muss der code mit Farbar ausgeführt werden.

Kannst du mir genau erklären was ich wie machen muss? Danke

Muss in der ersten code-Zeile nicht auch das C groß sein ?

ryder · 27.01.2013, 18:47

Fix mit FRST hast du doch jetzt schon 2 mal gemacht. Genauso wieder.

Ihatevira · 27.01.2013, 21:14

Hier die Hitman Logfiles:

HitmanPro_20130125_1355:

Code:

ATTFilter


	Code: 

 ATTFilter

  
	HitmanPro 3.7.1.186
www.hitmanpro.com

   Computer name . . . . : ADMIN-PC
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : NT-AUTORITÄT\SYSTEM
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (30 days left)

   Scan date . . . . . . : 2013-01-25 13:31:54
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 13m 31s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : Yes

   Threats . . . . . . . : 4
   Traces  . . . . . . . : 53

   Objects scanned . . . : 1.829.761
   Files scanned . . . . : 110.677
   Remnants scanned  . . : 616.693 files / 1.102.391 keys

Malware _____________________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\0.3973178816905212.exe -> DeleteFailed
      Size . . . . . . . : 417.792 bytes
      Age  . . . . . . . : 343.7 days (2012-02-16 21:13:33)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : A86764055884DEB0E7ED1A50B4541288B7E1A167CEAC1B4FD50AAF39DF6B1BB3
      Product  . . . . . : ogF
      Publisher  . . . . : jGpBGDOftC
      Version  . . . . . : 8.05.0024
      Copyright  . . . . : QYOtopnsdk
    > G Data . . . . . . : Trojan.Generic.KDV.537089 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 110.0

   C:\Users\Michael\AppData\Local\Temp\8EBPEPOBN.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:36)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\H8NQKIS1.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:10)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\KMP_3.4.0.59.exe -> DeleteFailed
      Size . . . . . . . : 381.984 bytes
      Age  . . . . . . . : 72.7 days (2012-11-13 20:01:03)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 4147E53AF2F6A827CA8812A6DE298A7D45AAB3B5D729DBF0C00BDE3DD6B8F5BF
      Product  . . . . . : Softonic Downloader
      Publisher  . . . . : Softonic
      Description  . . . : Softonic Downloader
      Version  . . . . . : 1.35.7.0
      Copyright  . . . . : Copyright (C) 2012
    > Ikarus . . . . . . : Trojan.Agent4!IK
      Fuzzy  . . . . . . : 100.0


Suspicious files ____________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\~!#DE09.tmp
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:44)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 25.0
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         The file name extension of this program is not common.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.

   C:\Users\Michael\AppData\Roaming\skype.dat
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:50:09)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 53.0
         Substitutes Explorer.exe as the default shell. Malware tends to start this way.
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program starts automatically without user intervention.
         Time indicates that the file appeared recently on this computer.
      Startup
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell


Malware remnants ____________________________________________________________

   Boot Configuration Data (BCD) WinPE mode
   HKLM\BCD00000000\Objects\{0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9}\Elements\26000022\


Potential Unwanted Programs _________________________________________________

   C:\Program Files (x86)\Wajam\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\firefox_trigger_extension.htm (Claro)
   C:\Program Files (x86)\Wajam\Firefox\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}.xpi (Claro)
   C:\Program Files (x86)\Wajam\IE\ (Claro)
   C:\Program Files (x86)\Wajam\IE\Chrome_WidgetWin_0 (Claro)
   C:\Program Files (x86)\Wajam\IE\favicon.ico (Claro)
   C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Claro)
      Size . . . . . . . : 297.568 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:37)
      Entropy  . . . . . : 6.5
      SHA-256  . . . . . : D1413C141FD0CAB5802BDA39813D9AB3DF02F1D6CD91F3C862FB1EF819843513
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Wajam Internet Explorer Add-on
      Version  . . . . . : 1.1.0.6
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -13.0
      Startup
         HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
      References
         HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
         HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO.1\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO\
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\

   C:\Program Files (x86)\Wajam\uninstall.exe (Claro)
      Size . . . . . . . : 62.672 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:31)
      Entropy  . . . . . : 7.0
      SHA-256  . . . . . : 0FE2452CEA8F685946E787B678080DCE0AD48EE7B68DE112F1A8FD1272FFBD63
      Product  . . . . . : Wajam
      Description
      Version  . . . . . : 1.2
      Copyright  . . . . : © Wajam. All right reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -18.0
      References
         C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk

   C:\Program Files (x86)\Wajam\Updater\ (Claro)
   C:\Program Files (x86)\Wajam\Updater\wajamLogo.bmp (Claro)
   C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe (Claro)
      Size . . . . . . . : 109.064 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:26)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : B23112AE291EFAE80AA7F9B1B119EB0DA4E426930A23EE77A6A43288F3C0CBB9
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Auto-updater
      Version  . . . . . : 1.0.0.5
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Service  . . . . . : WajamUpdater
      Authenticode . . . : Self-signed
      Running processes  : 3664
      Fuzzy  . . . . . . : 4.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdater\

   C:\Users\Admin\AppData\Local\Wajam\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\wajam.crx (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\ (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk (Claro)
   HKLM\SOFTWARE\Classes\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Google\chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wajam\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Wajam\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\WajamUpdater\ (Claro)

HitmanPro_20130125_1356:

Code:

ATTFilter


	Code: 

 ATTFilter

  
	HitmanPro 3.7.1.186
www.hitmanpro.com

   Computer name . . . . : ADMIN-PC
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : NT-AUTORITÄT\SYSTEM
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (30 days left)

   Scan date . . . . . . : 2013-01-25 13:31:54
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 13m 31s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : Yes

   Threats . . . . . . . : 4
   Traces  . . . . . . . : 53

   Objects scanned . . . : 1.829.761
   Files scanned . . . . : 110.677
   Remnants scanned  . . : 616.693 files / 1.102.391 keys

Malware _____________________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\0.3973178816905212.exe -> DeleteFailed
      Size . . . . . . . : 417.792 bytes
      Age  . . . . . . . : 343.7 days (2012-02-16 21:13:33)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : A86764055884DEB0E7ED1A50B4541288B7E1A167CEAC1B4FD50AAF39DF6B1BB3
      Product  . . . . . : ogF
      Publisher  . . . . : jGpBGDOftC
      Version  . . . . . : 8.05.0024
      Copyright  . . . . : QYOtopnsdk
    > G Data . . . . . . : Trojan.Generic.KDV.537089 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 110.0

   C:\Users\Michael\AppData\Local\Temp\8EBPEPOBN.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:36)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\H8NQKIS1.exe -> DeleteFailed
      Size . . . . . . . : 29.696 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:10)
      Entropy  . . . . . : 6.8
      SHA-256  . . . . . : 0EE33BC02283C5F26812A6B32F62713EAE4CD79BB96F1BB61400113B1C7EA2AE
    > G Data . . . . . . : Gen:Variant.Symmi.9244 (Engine A)
    > Ikarus . . . . . . : Trojan.Win32.Inject!IK
      Fuzzy  . . . . . . : 101.0

   C:\Users\Michael\AppData\Local\Temp\KMP_3.4.0.59.exe -> DeleteFailed
      Size . . . . . . . : 381.984 bytes
      Age  . . . . . . . : 72.7 days (2012-11-13 20:01:03)
      Entropy  . . . . . : 8.0
      SHA-256  . . . . . : 4147E53AF2F6A827CA8812A6DE298A7D45AAB3B5D729DBF0C00BDE3DD6B8F5BF
      Product  . . . . . : Softonic Downloader
      Publisher  . . . . : Softonic
      Description  . . . : Softonic Downloader
      Version  . . . . . : 1.35.7.0
      Copyright  . . . . : Copyright (C) 2012
    > Ikarus . . . . . . : Trojan.Agent4!IK
      Fuzzy  . . . . . . : 100.0


Suspicious files ____________________________________________________________

   C:\Users\Michael\AppData\Local\Temp\~!#DE09.tmp
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:49:44)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 25.0
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         The file name extension of this program is not common.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.

   C:\Users\Michael\AppData\Roaming\skype.dat
      Size . . . . . . . : 57.344 bytes
      Age  . . . . . . . : 1.7 days (2013-01-23 20:50:09)
      Entropy  . . . . . : 7.5
      SHA-256  . . . . . : 7CB45C2BA64A8590DADD61819B51E8BC54564103438B7BCC0B6F51C38C498997
      Fuzzy  . . . . . . : 53.0
         Substitutes Explorer.exe as the default shell. Malware tends to start this way.
         The file name extension of this program is not common.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         The hidden file attribute bit is set. This is not common to most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program starts automatically without user intervention.
         Time indicates that the file appeared recently on this computer.
      Startup
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell


Malware remnants ____________________________________________________________

   Boot Configuration Data (BCD) WinPE mode
   HKLM\BCD00000000\Objects\{0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9}\Elements\26000022\


Potential Unwanted Programs _________________________________________________

   C:\Program Files (x86)\Wajam\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\ (Claro)
   C:\Program Files (x86)\Wajam\Firefox\firefox_trigger_extension.htm (Claro)
   C:\Program Files (x86)\Wajam\Firefox\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}.xpi (Claro)
   C:\Program Files (x86)\Wajam\IE\ (Claro)
   C:\Program Files (x86)\Wajam\IE\Chrome_WidgetWin_0 (Claro)
   C:\Program Files (x86)\Wajam\IE\favicon.ico (Claro)
   C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Claro)
      Size . . . . . . . : 297.568 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:37)
      Entropy  . . . . . : 6.5
      SHA-256  . . . . . : D1413C141FD0CAB5802BDA39813D9AB3DF02F1D6CD91F3C862FB1EF819843513
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Wajam Internet Explorer Add-on
      Version  . . . . . : 1.1.0.6
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -13.0
      Startup
         HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
      References
         HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\
         HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO.1\
         HKLM\SOFTWARE\Wow6432Node\Classes\wajam.WajamBHO\
         HKU\S-1-5-21-3228746791-3087455342-158796021-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\

   C:\Program Files (x86)\Wajam\uninstall.exe (Claro)
      Size . . . . . . . : 62.672 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:31)
      Entropy  . . . . . : 7.0
      SHA-256  . . . . . : 0FE2452CEA8F685946E787B678080DCE0AD48EE7B68DE112F1A8FD1272FFBD63
      Product  . . . . . : Wajam
      Description
      Version  . . . . . : 1.2
      Copyright  . . . . : © Wajam. All right reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -18.0
      References
         C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk

   C:\Program Files (x86)\Wajam\Updater\ (Claro)
   C:\Program Files (x86)\Wajam\Updater\wajamLogo.bmp (Claro)
   C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe (Claro)
      Size . . . . . . . : 109.064 bytes
      Age  . . . . . . . : 132.7 days (2012-09-14 21:45:26)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : B23112AE291EFAE80AA7F9B1B119EB0DA4E426930A23EE77A6A43288F3C0CBB9
      Product  . . . . . : Wajam
      Publisher  . . . . : Wajam
      Description  . . . : Auto-updater
      Version  . . . . . : 1.0.0.5
      Copyright  . . . . : (c) Wajam.  All rights reserved.
      RSA Key Size . . . : 2048
      Service  . . . . . : WajamUpdater
      Authenticode . . . : Self-signed
      Running processes  : 3664
      Fuzzy  . . . . . . : 4.0
      Startup
         HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdater\

   C:\Users\Admin\AppData\Local\Wajam\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\ (Claro)
   C:\Users\Admin\AppData\Local\Wajam\Chrome\wajam.crx (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\ (Claro)
   C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk (Claro)
   HKLM\SOFTWARE\Classes\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamBHO\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1\ (Claro)
   HKLM\SOFTWARE\Classes\wajam.WajamDownloader\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\escort.DLL\ (Funmoods)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\priam_bho.DLL\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}\ (Claro)
   HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Google\chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Wajam\ (Claro)
   HKLM\SOFTWARE\Wow6432Node\Wajam\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet001\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\ControlSet002\services\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\eventlog\Application\WajamUpdater\ (Claro)
   HKLM\SYSTEM\CurrentControlSet\services\WajamUpdater\ (Claro)

Nur zur Info: Es wurde kein minidump file angelegt, sondern nur 6 Crash dump files.

ryder · 27.01.2013, 21:39

Ich hoffe du ärgerst dich nicht, weil wir hier so lange brauchen.

Eine Möglichkeit sehe ich noch bevor wir zu härteren Massnahmen greifen müssen. Bereite dich aber bitte in Gedanken schon mal auf eine Neuinstallation vor.

Nochmals ein Fix-Versuch mit FRST:

Code:

ATTFilter

2 WajamUpdater; "C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe" [109064 2012-06-14] (Wajam)

Ihatevira · 27.01.2013, 22:06

In der Ruhe liegt die Kraft

Das war fürs Phrasenschwein

Ich habe mich darauf eingestellt, dass es lange dauert. Das ist kein Problem.

Hier die Fixlog:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-01-2013 02
Ran by SYSTEM at 2013-01-27 22:01:35 Run:3
Running from H:\

==============================================

WajamUpdater service deleted successfully.

==== End of Fixlog ====

ryder · 27.01.2013, 22:40

In Ordnung.

Bootet es jetzt?

Ihatevira · 27.01.2013, 22:46

Nein.

Weder normal noch im abgesicherten Modus

ryder · 27.01.2013, 23:03

Wie ärgerlich:

Gut, dann bitte wieder bis zu dieser Eingabeaufforderung die dir schon bekannt sein dürfte booten und dann folgendes eingeben:

Code:

ATTFilter

BootRec /fixmbr (enter)
BootRec /RebuildBcd (enter)

Wenn wir Glück haben kannst du danach entweder booten oder zumindest den Bootmanager benutzen ohne von der DVD booten zu müssen.

Ihatevira · 28.01.2013, 18:57

Bei dem ersten Befehl kommt folgende Antwort:

Der Vorgang wurde abgeschlossen

Beim 2. Befehl kommt jedoch diese Antwort:

Die Suche nach Windows-Installationen war erfolgreich.
Gesamtzahl der identifizierten Windows-Installationen: 0
Der Vorgang wurde abgeschlossen.

Ich kann weder normal noch im abgesicherten Modus booten.

ryder · 29.01.2013, 15:07

In Ordnung, ich stelle dein Problem mal intern zur Diskussion.

Bitte warten

ryder · 29.01.2013, 17:16

Es gibt 2 neue Ideen:

Mache bitte einen weiteren FRST-Fix:

Code:

ATTFilter

TDL4: custom:26000022 <===== ATTENTION!

Wenn es danach noch nicht funktioniert:
Was passiert wenn du die Startreparatur ausführst?

Ihatevira · 30.01.2013, 17:50

Der Fix mit Frst hat geklappt:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-01-2013 02
Ran by SYSTEM at 2013-01-30 17:24:08 Run:4
Running from H:\

==============================================


Der Vorgang wurde erfolgreich beendet.
Der Vorgang wurde erfolgreich beendet.

==== End of Fixlog ====

Hochfahren kann er aber immer noch nicht.
Systemstartreperatur bringt mir den Fehler, dass nichts repariert werden kann.

ryder · 30.01.2013, 17:59

In Ordnung, das hilft scheinbar alles nichts, es gibt jetzt nur noch 2 Möglichkeiten.

- Systemwiederherstellung
- Reparaturinstallation

und dann die Neuinstallation.

Wir beginnen mir dem ersten.

Gib in der Eingabeaufforderung ein: rstrui (enter)

Versuche einen Zustand VOR dem 2013-01-23 20:55 zu erreichen.

Wenn das geklappt hat, dann bitte ein neues FRST-Log.

ryder · 30.01.2013, 22:35

Eine weitere Möglichkeit wurde mir gerade zugeflüstert.

Drücke beim Booten bitte nicht F8 um ins Bootmenü zu kommen sondern F10 um in einen Bildschirm zu kommen der sich "Edit Boot Options" nennt.

Schreibe mir bitte auf, was sich zwischen den eckigen Klammern als Text befindet!

Steht da etwas anderes als dieses?

Zitat:

/NOEXECUTE=OPTIN

27.01.2013, 18:47	#33
ryder /// TB-Ausbilder	Laptop wurde vom GVU Virus/Trojaner befallen Fix mit FRST hast du doch jetzt schon 2 mal gemacht. Genauso wieder. __________________ __________________

27.01.2013, 22:40	#37
ryder /// TB-Ausbilder	Laptop wurde vom GVU Virus/Trojaner befallen In Ordnung. Bootet es jetzt? __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

29.01.2013, 15:07	#41
ryder /// TB-Ausbilder	Laptop wurde vom GVU Virus/Trojaner befallen In Ordnung, ich stelle dein Problem mal intern zur Diskussion. Bitte warten __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

29.01.2013, 17:16	#42
ryder /// TB-Ausbilder	Laptop wurde vom GVU Virus/Trojaner befallen Es gibt 2 neue Ideen: Mache bitte einen weiteren FRST-Fix: Code: ATTFilter TDL4: custom:26000022 <===== ATTENTION! Wenn es danach noch nicht funktioniert: Was passiert wenn du die Startreparatur ausführst? __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

Laptop wurde vom GVU Virus/Trojaner befallen

Plagegeister aller Art und deren Bekämpfung: Laptop wurde vom GVU Virus/Trojaner befallen