| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojaner - Computer gesperrt - auch im abgesicherten ModusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.02.2013, 22:33
| #1 |
 |  GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Hallo, habe mir gestern eine GVU-Trojaner auf meinem PC mit WIN XP Prof. eingefangen. Die Sperrung ist auch im abgesicherten Modus aktiv! Ich habe hier im Forum bereits einige Beiträge gelesen, doch die Lösungen sind doch individuell auf den jeweiligen PC. Ich habe bereits eine OTLPE-Bootdisk erstellt und den infizierten PC damit hochgefahren. Anschließend gemäß hier gelesener Anleitung einen Scan durchgeführt. Hierbei wurde aber nur die EINE Datei erstellt, OTL.txt, nicht die Extra.txt Datei!!! Was soll ich jetzt tun??? Ich hoffe, Ihr könnt mir helfen! Eine Formatierung der Festplatte wäre eine Katastrophe! Für Eure Bemühungen im Voraus herzlichen Dank! Hier die Log-Datei: Code:
ATTFilter OTL logfile created on: 2/7/2013 11:21:09 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 4989 4989 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 200.00 Gb Total Space | 170.21 Gb Free Space | 85.10% Space Free | Partition Type: NTFS
Drive D: | 731.51 Gb Total Space | 708.92 Gb Free Space | 96.91% Space Free | Partition Type: NTFS
Drive E: | 931.50 Gb Total Space | 929.02 Gb Free Space | 99.73% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - [2013/02/07 13:19:23 | 000,114,688 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Dokumente und Einstellungen\***\3875750.exe -- (winmgmt)
SRV - [2013/02/06 12:57:18 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/12/11 14:33:45 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/12/11 14:33:16 | 000,565,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012/12/11 14:33:10 | 000,400,160 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012/12/11 14:33:09 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/12/11 14:33:08 | 000,656,672 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService)
SRV - [2012/08/11 09:43:06 | 000,055,184 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/10/19 01:46:42 | 001,952,488 | ---- | M] (Language Engineering Corporation, LLC) [Auto] -- C:\Programme\Power Translator 14\LogoMedia TranslateDotNet Server.exe -- (LEC TranslateDotNet Server)
SRV - [2011/02/18 01:18:50 | 000,245,760 | ---- | M] () [Auto] -- C:\Programme\Synology\Assistant\UsbClientService.exe -- (UsbClientService)
SRV - [2010/06/15 11:08:28 | 000,861,696 | ---- | M] () [Auto] -- C:\WINDOWS\System32\atwtusb.exe -- (WTService)
SRV - [2010/05/07 12:47:32 | 000,162,648 | ---- | M] (Logitech Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2010/01/11 21:45:36 | 000,245,760 | ---- | M] () [Auto] -- C:\Programme\Synology Data Replicator 3\SynoDrService.exe -- (SynoDrService)
SRV - [2009/12/08 01:14:28 | 005,241,448 | ---- | M] () [Disabled] -- C:\Programme\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe -- (NVIDIA Performance Driver Service)
SRV - [2009/10/27 03:26:36 | 000,657,408 | ---- | M] (Nokia) [On_Demand] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2003/07/28 05:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 16:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2012/12/11 14:33:59 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/12/11 14:33:58 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012/11/26 12:53:20 | 000,112,584 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avfwot.sys -- (avfwot)
DRV - [2012/11/26 12:53:20 | 000,092,008 | ---- | M] (Avira GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avfwim.sys -- (avfwim)
DRV - [2012/11/13 12:07:47 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012/10/09 11:28:41 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012/02/26 05:36:55 | 000,013,824 | ---- | M] (Scott) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\USBDrv.sys -- (usbUDisc)
DRV - [2012/01/24 02:49:42 | 000,046,144 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiBus.sys -- (SaiNtBus)
DRV - [2012/01/24 02:49:42 | 000,022,720 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiMini.sys -- (SaiMini)
DRV - [2011/12/07 23:22:38 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ssudmdm.sys -- (ssudmdm) SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.)
DRV - [2011/12/07 23:22:38 | 000,080,184 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ssudbus.sys -- (dg_ssudbus) SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.)
DRV - [2011/09/20 02:34:24 | 000,147,264 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiK0CCB.sys -- (SaiK0CCB)
DRV - [2011/09/20 02:34:24 | 000,041,152 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiU0CCB.sys -- (SaiU0CCB)
DRV - [2011/09/16 05:54:40 | 000,020,032 | ---- | M] (Devguru Co., Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - [2011/02/18 01:20:08 | 000,046,304 | ---- | M] (Windows (R) Win 7 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\busenum.sys -- (busenum)
DRV - [2010/05/14 17:04:20 | 000,023,904 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2010/05/14 17:04:02 | 006,842,592 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech HD Webcam C310(UVC)
DRV - [2010/05/14 17:02:26 | 000,276,448 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2010/05/14 17:02:14 | 000,114,784 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvpopflt.sys -- (lvpopflt)
DRV - [2010/05/07 12:43:30 | 000,025,824 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2010/01/25 00:25:30 | 000,111,360 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2010/01/25 00:25:14 | 004,745,216 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009/10/06 05:52:50 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2009/10/06 05:52:34 | 000,022,016 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2009/10/06 05:52:34 | 000,017,664 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2009/10/06 05:52:34 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2009/08/20 11:38:24 | 000,006,144 | R--- | M] (Windows (R) Win 7 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\walvhid.sys -- (vhidmini)
DRV - [2009/03/08 12:15:14 | 000,006,144 | R--- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\moufiltr.sys -- (moufiltr)
DRV - [2008/08/26 03:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008/07/30 00:51:30 | 000,277,736 | ---- | M] (Protect Software GmbH) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2006/11/22 04:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006/11/22 04:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2006/11/22 04:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2005/06/16 09:05:00 | 000,015,872 | ---- | M] (REINER SCT) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cjusb.sys -- (cjusb)
DRV - [2003/11/07 22:16:00 | 000,265,728 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\***_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
IE - HKU\***_ON_C\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
IE - HKU\***_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\***_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_270.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013/02/06 12:57:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013/02/06 12:57:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012/10/29 13:39:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
[2013/02/06 12:57:07 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013/02/06 12:57:07 | 000,000,000 | ---D | M] (Skype extension) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2013/02/06 12:57:18 | 000,262,552 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2009/07/29 09:40:04 | 000,605,184 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\beanspruchung.dll
[2009/07/24 08:40:42 | 000,025,600 | ---- | M] (Inprise Corporation) -- C:\Programme\mozilla firefox\plugins\borlndmm.dll
[2009/07/24 08:40:44 | 001,500,160 | ---- | M] (Borland Corporation) -- C:\Programme\mozilla firefox\plugins\cc3260mt.dll
[2009/07/29 09:39:44 | 000,713,216 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\gemeinden_italy.dll
[2009/07/29 09:38:02 | 001,982,464 | ---- | M] (SYSCON-Informatik GmbH) -- C:\Programme\mozilla firefox\plugins\mdview3d.dll
[2009/07/30 07:24:28 | 001,503,232 | ---- | M] (SYSCON INFORMATIK GmbH) -- C:\Programme\mozilla firefox\plugins\npProfilRechercheInetCtrl.dll
[2009/07/24 08:42:02 | 000,288,256 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\scprint_bc.dll
[2009/07/24 08:42:00 | 000,101,376 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\sctbcolordlg_bc.dll
[2009/07/29 09:38:58 | 003,534,336 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\scviewer.dll
[2009/07/24 08:40:44 | 000,618,496 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\stlpmt45.dll
[2012/01/20 13:03:30 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/09/04 14:12:03 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/01/20 13:03:30 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/01/20 13:03:30 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/01/20 13:03:30 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/01/20 13:03:30 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2012/03/01 15:29:24 | 000,441,471 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 15173 more lines...
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (LEC) - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 14\Applications\LEC IE Translation Extension.dll (Language Engineering Corporation, LLC)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKU\***_ON_C\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
O3 - HKU\***_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [KiesTrayAgent] C:\Programme\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.)
O4 - HKLM..\Run: [MacrokeyManager] C:\WINDOWS\System32\WTMKM.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [ProfilerU] C:\Programme\SmartTechnology\Software\ProfilerU.exe (Saitek)
O4 - HKLM..\Run: [SaiMfd] C:\Programme\SmartTechnology\Software\SaiMfd.exe (Saitek)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKU\***_ON_C..\Run: [KiesHelper] C:\Programme\Samsung\Kies\KiesHelper.exe (Samsung)
O4 - HKU\***_ON_C..\Run: [KiesPDLR] C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe (3Dconnexion, INC)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\***_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\DOKUME~1\ALLUSE~1\ANWEND~1\PCVISI~1\caloa\Common\CALOA_~1\release\1926~1.240\remoteProcStart_x86.dll) - C:\DOKUME~1\ALLUSE~1\ANWEND~1\PCVISI~1\caloa\Common\CALOA_~1\release\1926~1.240\remoteProcStart_x86.dll (pcvisit software ag)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/01/25 12:35:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2013/02/07 13:19:23 | 000,114,688 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\3875750.exe
[2013/02/06 13:24:12 | 000,181,432 | ---- | C] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\WINDOWS\System32\drivers\ssudmdm.sys
[2013/02/06 13:24:12 | 000,080,184 | ---- | C] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\WINDOWS\System32\drivers\ssudbus.sys
[2013/02/06 12:57:06 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013/02/02 05:53:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2013/02/02 04:14:18 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013/01/23 15:45:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\VW
[2013/01/23 15:43:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EVA-18599 [2011]
[2013/01/23 15:43:15 | 000,000,000 | ---D | C] -- C:\EVA-18599-2011
[2013/01/23 15:42:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp-EVA-18599-2011-NWB
[2010/02/24 12:57:23 | 000,018,944 | ---- | C] ( ) -- C:\WINDOWS\System32\implode.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\*.tmp files -> C:\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2013/02/07 16:20:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/02/07 16:19:58 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\logiflt.iad
[2013/02/07 13:58:52 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad
[2013/02/07 13:22:47 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013/02/07 13:21:27 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/02/07 13:21:23 | 000,000,618 | ---- | M] () -- C:\WINDOWS\tasks\WebContent AutoUpdate 2011.job
[2013/02/07 13:19:26 | 000,002,795 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js
[2013/02/07 13:19:26 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk
[2013/02/07 13:19:23 | 000,114,688 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\3875750.exe
[2013/02/07 13:11:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013/02/07 12:19:54 | 000,506,256 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/02/07 12:19:54 | 000,484,566 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/02/07 12:19:54 | 000,096,228 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/02/07 12:19:54 | 000,080,580 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/02/06 16:40:12 | 001,543,848 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/02/06 16:40:12 | 000,272,330 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-117609710-1972579041-725345543-1003-0.dat
[2013/02/06 16:40:11 | 000,272,330 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2013/02/06 13:12:45 | 000,056,381 | ---- | M] () -- C:\WINDOWS\tasks\apc.cache
[2013/02/05 13:38:28 | 000,000,616 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2013/02/05 12:47:21 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/02/04 12:28:22 | 000,002,483 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\CorelDRAW 11.lnk
[2013/02/03 13:30:00 | 000,000,138 | ---- | M] () -- C:\WINDOWS\ccolwiz.ini
[2013/02/02 05:48:40 | 000,312,376 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013/02/02 04:30:49 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/01/23 15:43:32 | 000,001,519 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EVA-18599 [2011].lnk
[2013/01/23 15:43:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EVA-18599 [2011]
[2013/01/14 14:38:57 | 000,002,367 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Baurecht und Bauantrag digital 1-2009.lnk
[2013/01/12 14:21:14 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013/01/09 13:55:11 | 000,002,531 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\On-Site Survey 2011.lnk
[2013/01/09 02:12:38 | 000,000,472 | ---- | M] () -- C:\WINDOWS\tasks\Allplan AutoUpdate 2011-1.job
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\*.tmp files -> C:\*.tmp -> ]
========== Files Created - No Company Name ==========
[2013/02/07 13:22:14 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013/02/07 13:19:26 | 000,002,795 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js
[2013/02/07 13:19:26 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk
[2013/02/07 13:19:25 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad
[2013/02/06 13:12:45 | 000,056,381 | ---- | C] () -- C:\WINDOWS\tasks\apc.cache
[2013/02/02 05:48:27 | 001,543,848 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/01/23 15:43:32 | 000,001,519 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EVA-18599 [2011].lnk
[2012/09/10 16:10:01 | 000,272,330 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-117609710-1972579041-725345543-1003-0.dat
[2012/09/09 16:14:46 | 000,272,330 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012/05/27 10:10:24 | 000,075,040 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\SpeechUninstall.exe
[2012/03/03 08:23:24 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/03/01 14:59:48 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.EXE
[2012/03/01 14:59:48 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\hlduinst.exe
[2012/03/01 14:59:48 | 000,006,836 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2011/09/16 05:54:48 | 000,030,568 | ---- | C] () -- C:\WINDOWS\MusiccityDownload.exe
[2011/09/16 05:54:44 | 000,974,848 | ---- | C] () -- C:\WINDOWS\System32\cis-2.4.dll
[2011/09/16 05:54:44 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\issacapi_bs-2.3.dll
[2011/09/16 05:54:44 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\issacapi_pe-2.3.dll
[2011/09/16 05:54:44 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\issacapi_se-2.3.dll
[2011/07/10 21:02:00 | 000,000,530 | ---- | C] () -- C:\WINDOWS\System32\tx17_ic.ini
[2011/06/08 01:44:04 | 000,000,164 | ---- | C] () -- C:\WINDOWS\DBDUIHost.exe.config
[2010/12/09 14:17:32 | 000,861,696 | ---- | C] () -- C:\WINDOWS\System32\atwtusb.exe
[2010/12/09 14:17:31 | 000,151,272 | ---- | C] () -- C:\WINDOWS\System32\Calibration.exe
[2010/12/09 14:17:31 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\InstallService.exe
[2010/12/09 14:17:29 | 006,259,432 | ---- | C] () -- C:\WINDOWS\System32\WTMKM.exe
[2010/12/09 14:17:29 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\ATWTINK.DLL
[2010/12/09 14:17:29 | 000,126,696 | ---- | C] () -- C:\WINDOWS\RmTablet.exe
[2010/12/09 14:17:28 | 000,022,856 | ---- | C] () -- C:\WINDOWS\System32\Photoshop Elements.ini
[2010/12/09 14:17:28 | 000,015,605 | ---- | C] () -- C:\WINDOWS\System32\PhotoImpact XL SE.ini
[2010/12/09 14:17:28 | 000,010,513 | ---- | C] () -- C:\WINDOWS\System32\Windows7.ini
[2010/12/09 14:17:28 | 000,010,251 | ---- | C] () -- C:\WINDOWS\System32\Vista.ini
[2010/12/09 14:17:28 | 000,009,868 | ---- | C] () -- C:\WINDOWS\System32\XP_2000.ini
[2010/12/09 14:17:28 | 000,000,924 | ---- | C] () -- C:\WINDOWS\System32\Corel Draw.ini
[2010/12/09 14:17:28 | 000,000,792 | ---- | C] () -- C:\WINDOWS\System32\MKProfile.ini
[2010/12/09 14:17:27 | 000,008,229 | ---- | C] () -- C:\WINDOWS\aiptbl.ini
[2010/11/17 13:42:56 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010/11/01 16:08:36 | 000,236,588 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010/11/01 16:08:34 | 000,236,588 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010/11/01 16:08:34 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010/08/31 09:04:44 | 000,000,128 | ---- | C] () -- C:\WINDOWS\System32\winsys.dll
[2010/07/30 09:37:52 | 000,042,496 | ---- | C] () -- C:\WINDOWS\System32\spwini.dll
[2010/05/17 11:01:34 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2010/05/14 16:56:06 | 010,830,680 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll
[2010/05/14 16:56:06 | 000,102,744 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe
[2010/05/14 16:55:58 | 000,290,648 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll
[2010/05/14 16:47:00 | 000,090,071 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010/05/07 12:46:36 | 000,014,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2010/05/07 12:43:30 | 000,025,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2010/03/02 03:33:31 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/02/24 15:09:37 | 000,000,098 | ---- | C] () -- C:\WINDOWS\NemAll_Sketching40.INI
[2010/02/13 10:40:21 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010/02/08 14:19:25 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\NMM-MetaData.db
[2010/01/31 13:32:40 | 000,003,056 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FUIPRESETS.INI
[2010/01/30 09:12:39 | 000,000,091 | ---- | C] () -- C:\WINDOWS\Brfaxrx.ini
[2010/01/30 09:12:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat
[2010/01/29 02:29:18 | 000,000,138 | ---- | C] () -- C:\WINDOWS\ccolwiz.ini
[2010/01/28 13:21:43 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\$_hpcst$.hpc
[2010/01/28 12:10:39 | 000,000,236 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2010/01/28 12:10:39 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2010/01/28 12:10:33 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2010/01/28 12:10:32 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2010/01/28 12:10:22 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08a.dat
[2010/01/28 12:10:20 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2010/01/28 12:08:09 | 000,031,864 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2010/01/28 04:15:55 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/01/28 04:15:49 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010/01/27 02:56:58 | 000,000,212 | ---- | C] () -- C:\WINDOWS\V0WIN729.SYS
[2010/01/27 02:53:38 | 000,000,051 | ---- | C] () -- C:\WINDOWS\TSetup.INI
[2010/01/26 15:04:21 | 000,000,396 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini
[2010/01/26 15:04:18 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\cJSetup.dll
[2010/01/26 15:04:18 | 000,031,328 | ---- | C] () -- C:\WINDOWS\System32\Ctrsct16.dll
[2010/01/26 13:26:57 | 000,000,182 | ---- | C] () -- C:\WINDOWS\System32\EBPPORT4.DAT
[2010/01/26 13:24:39 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDER200Euro.ini
[2010/01/26 12:37:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/01/26 08:41:52 | 000,000,745 | ---- | C] () -- C:\WINDOWS\Ulead32.ini
[2010/01/26 08:27:56 | 000,000,616 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010/01/25 12:37:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/01/25 12:33:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010/01/25 12:16:47 | 000,004,349 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/01/25 12:14:03 | 000,312,376 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/12/17 16:31:25 | 002,195,350 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2009/10/06 02:16:02 | 000,819,200 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008/04/14 00:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007/03/16 11:00:00 | 000,003,403 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini
[2007/03/12 14:31:28 | 001,732,608 | ---- | C] () -- C:\WINDOWS\System32\BCGPStyle2007Luna.dll
[2006/12/30 23:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006/11/28 21:30:00 | 000,000,530 | ---- | C] () -- C:\WINDOWS\System32\tx13_ic.ini
[2003/09/08 16:21:54 | 000,090,112 | ---- | C] () -- C:\WINDOWS\AKDeInstall.exe
[2003/02/20 10:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002/08/29 06:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002/08/29 06:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2002/08/29 06:00:00 | 000,506,256 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2002/08/29 06:00:00 | 000,484,566 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2002/08/29 06:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2002/08/29 06:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2002/08/29 06:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2002/08/29 06:00:00 | 000,096,228 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2002/08/29 06:00:00 | 000,080,580 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2002/08/29 06:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2002/08/29 06:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2002/08/29 06:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2002/08/29 06:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2002/08/29 06:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1997/01/11 18:00:00 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\DTCTRACE.DLL
========== LOP Check ==========
[2010/03/22 05:43:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\3Dconnexion
[2010/09/02 09:16:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HSETU
[2010/11/17 04:21:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech
[2012/05/27 09:56:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LEC
[2011/12/20 14:24:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nemetschek
[2010/12/27 13:15:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nikon
[2010/02/09 09:27:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
[2010/02/08 14:01:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Suite
[2010/02/03 08:37:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ProtectDisc
[2011/11/03 14:11:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Samsung
[2010/01/28 12:18:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ScanSoft
[2010/02/02 10:12:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TeamViewer
[2011/11/29 16:45:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Temp
[2012/05/20 12:40:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
[2010/01/28 12:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zeon
[2011/08/21 04:59:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Nemetschek
[2012/10/14 16:24:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2010/07/19 11:13:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DBD
[2010/09/02 09:15:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
[2012/12/12 14:00:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
[2010/02/09 09:23:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2011/08/17 12:16:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nemetschek
[2010/02/09 09:25:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
[2012/09/16 12:05:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ORCA AVA
[2010/02/08 13:57:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2012/12/14 10:45:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcvisit Software AG
[2010/03/07 07:05:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
[2011/08/27 06:22:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PRMT
[2012/03/11 16:51:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\REINER SCT
[2011/11/03 14:12:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2010/01/28 12:08:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2012/04/11 14:35:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartTechnology
[2010/12/09 14:17:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tablet
[2010/01/26 13:29:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010/02/24 12:59:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Valentin EnergieSoftware
[2010/03/07 07:06:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VVW
[2010/01/28 12:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zeon
[2010/12/26 11:53:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ziegel
[2010/10/20 10:27:18 | 000,000,242 | ---- | M] () -- C:\WINDOWS\Tasks\3DxSoftware Create Process (ID 4313601227486).job
[2013/01/09 02:12:38 | 000,000,472 | ---- | M] () -- C:\WINDOWS\Tasks\Allplan AutoUpdate 2011-1.job
[2013/02/06 13:12:45 | 000,056,381 | ---- | M] () -- C:\WINDOWS\Tasks\apc.cache
[2013/02/07 13:21:23 | 000,000,618 | ---- | M] () -- C:\WINDOWS\Tasks\WebContent AutoUpdate 2011.job
========== Purity Check ==========
< End of report >
|
|
09.02.2013, 16:26
| #2 |
| /// Helfer-Team  | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Fixen mit OTLpe
Ersetze die *** Sternchen wieder in den Benutzernamen zurück! Code:
ATTFilter :OTL
SRV - [2013/02/07 13:19:23 | 000,114,688 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Dokumente und Einstellungen\***\3875750.exe -- (winmgmt)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
[2013/02/07 13:19:23 | 000,114,688 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\3875750.exe
[2013/02/07 13:19:26 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk
[2013/02/07 13:19:26 | 000,002,795 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js
[2013/02/07 13:19:25 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad
:Files
ipconfig /flushdns /c
:Commands
[emptytemp]
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________ |
|
09.02.2013, 19:54
| #3 |
| | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Hallo t´john,
__________________vielen Dank für Deine Antwort! Hier das Logfile nach dem Fixen: (Das System verlangte einen Neustart! Erst dann kam beim erneuten Öffnen von OTLPE das Logfile!) Code:
ATTFilter ========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt deleted successfully.
File C:\Dokumente und Einstellungen\***\3875750.exe not found.
File move failed. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk scheduled to be moved on reboot.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\***\3875750.exe not found.
File C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9471 bytes
Total Files Cleaned = 2.00 mb
OTLPE by OldTimer - Version 3.1.48.0 log created on 02092013_191423
Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk not found!
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Mist, der Trojaner ist immer noch da! Windows ist ziemlich weit hochgefahren, aber dann kam wieder die Sperrung.  Hab den PC im Normal-Modus hochgefahren! Hatte so gehofft, dass das beim ersten Mal klappt. Für Deine weitere Hilfe im Voraus besten Dank! Gruß bartek71 |
|
09.02.2013, 21:01
| #4 |
| /// Helfer-Team | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Hast du auch die Sternchen zurueckersetzt bevor du gefixt hast? Anscheinend nicht. Nacholen, nochmal fixen. |
|
10.02.2013, 00:09
| #5 |
| | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Uuuups, hab gar nicht daran gedacht! Hier das neue Logfile: Code:
ATTFilter ========== OTL ==========
Service\Driver key winmgmt not found.
C:\Dokumente und Einstellungen\***\3875750.exe moved successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\***\3875750.exe not found.
File C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: ***
->Temp folder emptied: 740560198 bytes
->Temporary Internet Files folder emptied: 160351597 bytes
->FireFox cache emptied: 73321488 bytes
->Flash cache emptied: 997 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Total Files Cleaned = 929.00 mb
OTLPE by OldTimer - Version 3.1.48.0 log created on 02092013_233717
Files\Folders moved on Reboot...
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Juhuuu! Er geht wieder!!! Super, tausend Dank!!! Ihr seit genial! In anderen Beiträgen habe ich gelesen, dass das noch nicht alles ist. Was muss ich noch tun? Für die weiteren Tipps und Maßnahmen im Voraus besten Dank! Gruß bartek71 |
|
10.02.2013, 00:13
| #6 |
| /// Helfer-Team | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Sehr gut!  1. Schritt Downloade Dir bittedanach: 2. Schritt Downloade Dir bitte  AdwCleaner auf deinen Desktop.
danach: Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ --> GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus |
|
10.02.2013, 12:20
| #7 |
| | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Hallo t´john, beim Voll-Scan von Malwarebytes hat mein Virenprogramm Avira ein unerwünschtes Programm gefunden! Objekt: 3875750.exe Fund: TR/Ransom.Foreign.aagz Bei der Meldung von Avira konnte ich kurz irgend etwas von OTLPE erkennen! Ich wollte mir die Details anzeigen lassen, da hat Avira das System schon untersucht! Soll es in Quarantäne verschoben werden, oder abbrechen? Möchte jetzt keinen Fehler machen! Was soll ich tun? Für eine kurzfristige Antwort wäre ich Dir sehr dankbar! Gruß barte71 Hallo t´john, der Voll-Scan von Malwarebytes ist beendet. Auch hier wird eine Infizierung angezeigt: Trojan.Ransom im Orner von OTL\MovedFiles\ Das wäre doch der gleiche Trojaner, welchen Avira gefunden hat und bereits isolliert habt, oder? Welche Reihenfolge muss ich einhalten? Zuerst bei Avira in Quarantäne schieben und dann bei Malwarebytes entfernen? oder bei Malwarebytes entfernen und bei Avira ignorieren und abbrechen? Hilfe! Für die Antwort im Voraus besten Dank. Also, ich habe die Meldung von Avira abgebrochen und die infizierte Datei bei Malwarebytes entfernt! Avira hat wohl das gefunden, was du über OTLPE bereits isolliert hast und von Malwarebytes auch gefunden wurde! War die einzige logische Erklärung für mich! Hier die jeweiligen Logfiles: Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.10.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 *** :: ***-***810*** [Administrator] 10.02.2013 11:24:35 mbam-log-2013-02-10 (11-24-35).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Z:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 331606 Laufzeit: 1 Stunde(n), 2 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\_OTL\MovedFiles\02092013_233717\C_Dokumente und Einstellungen\***\3875750.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.111 - Datei am 10/02/2013 um 15:24:41 erstellt
# Aktualisiert am 05/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : *** - ***-***810***
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\Conduit
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\CT2319825
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\extensions\{40c3cc16-7269-4b32-9531-17f2950fb06f}
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Conduit
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Winload
Ordner Gelöscht : C:\Programme\Conduit
Ordner Gelöscht : C:\Programme\Winload
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2737AB87-1E8E-492E-B6EA-B3375128C69B}
Schlüssel Gelöscht : HKCU\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\Winload
Schlüssel Gelöscht : HKCU\Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2737AB87-1E8E-492E-B6EA-B3375128C69B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C2387C2E-03CC-40D1-BD9F-44F123C13F3E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2E78A2B6-105D-4435-99F0-4AB0F6BC50B4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D7B9E5CF-7BD5-4BFF-B910-F3164F1D8CD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Winload Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2737AB87-1E8E-492E-B6EA-B3375128C69B}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winload Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Schlüssel Gelöscht : HKLM\Software\Winload
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{40C3CC16-7269-4B32-9531-17F2950FB06F}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{40C3CC16-7269-4B32-9531-17F2950FB06F}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{40C3CC16-7269-4B32-9531-17F2950FB06F}]
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825 --> hxxp://www.google.com
-\\ Mozilla Firefox v18.0.2 (de)
Datei : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\prefs.js
Gelöscht : user_pref("CT2319825.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2319825.CTID", "CT2319825");
Gelöscht : user_pref("CT2319825.CurrentServerDate", "5-8-2010");
Gelöscht : user_pref("CT2319825.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2319825.EMailNotifierPollDate", "Thu Aug 05 2010 17:16:05 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedLastCount128902288263982011", 75);
Gelöscht : user_pref("CT2319825.FeedLastCount129056115025381886", 0);
Gelöscht : user_pref("CT2319825.FeedPollDate11908299", "Thu Aug 05 2010 17:16:08 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate128902288263982011", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129056115025381886", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228016461601757", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228019840048158", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228021559110981", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228022849107630", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FirstServerDate", "5-8-2010");
Gelöscht : user_pref("CT2319825.FirstTime", true);
Gelöscht : user_pref("CT2319825.FirstTimeFF3", true);
Gelöscht : user_pref("CT2319825.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2319825.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2319825.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2319825.Initialize", true);
Gelöscht : user_pref("CT2319825.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2319825.InstalledDate", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.InvalidateCache", false);
Gelöscht : user_pref("CT2319825.IsGrouping", false);
Gelöscht : user_pref("CT2319825.IsMulticommunity", false);
Gelöscht : user_pref("CT2319825.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2319825.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT2319825.LanguagePackLastCheckTime", "Thu Aug 05 2010 17:16:08 GMT+0200");
Gelöscht : user_pref("CT2319825.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2319825.LastLogin_2.5.8.6", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.LatestVersion", "2.1.0.18");
Gelöscht : user_pref("CT2319825.Locale", "de");
Gelöscht : user_pref("CT2319825.LoginCache", 4);
Gelöscht : user_pref("CT2319825.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2319825.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2319825.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2319825.RadioIsPodcast", false);
Gelöscht : user_pref("CT2319825.RadioLastCheckTime", "Thu Aug 05 2010 17:16:06 GMT+0200");
Gelöscht : user_pref("CT2319825.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2319825.RadioLastUpdateServer", "129224641269630000");
Gelöscht : user_pref("CT2319825.RadioMediaID", "11949532");
Gelöscht : user_pref("CT2319825.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2319825.RadioMenuSelectedID", "EBRadioMenu_CT231982511949532");
Gelöscht : user_pref("CT2319825.RadioStationName", "1Live");
Gelöscht : user_pref("CT2319825.RadioStationURL", "hxxp://gffstream.ic.llnwd.net/stream/gffstream_stream_wdr_ei[...]
Gelöscht : user_pref("CT2319825.SHRINK_TOOLBAR", 1);
Gelöscht : user_pref("CT2319825.SavedHomepage", "hxxp://www.freenet.de");
Gelöscht : user_pref("CT2319825.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2319825.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2319825.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT231[...]
Gelöscht : user_pref("CT2319825.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2319825.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.SearchInNewTabLastCheckTime", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2319825.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2319825.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2319825.SettingsLastCheckTime", "Thu Aug 05 2010 17:16:03 GMT+0200");
Gelöscht : user_pref("CT2319825.SettingsLastUpdate", "1280656073");
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastCheck", "Thu Aug 05 2010 17:16:03 GMT+0200");
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2319825.TrusteLinkUrl", "hxxp://www.truste.org/pvr.php?page=validate&softwareProgramId=[...]
Gelöscht : user_pref("CT2319825.UserID", "UN20603000795743032");
Gelöscht : user_pref("CT2319825.WeatherNetwork", "");
Gelöscht : user_pref("CT2319825.WeatherPollDate", "Thu Aug 05 2010 17:16:08 GMT+0200");
Gelöscht : user_pref("CT2319825.WeatherUnit", "C");
Gelöscht : user_pref("CT2319825.alertChannelId", "715912");
Gelöscht : user_pref("CT2319825.clientLogIsEnabled", true);
Gelöscht : user_pref("CT2319825.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2319825.myStuffEnabled", true);
Gelöscht : user_pref("CT2319825.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2319825.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2319825.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2319825.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2319825");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2319825");
Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Thu Aug 05 2010 17:16:06 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2319825");
Gelöscht : user_pref("browser.search.defaultthis.engineName", "Winload Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&Sea[...]
Gelöscht : user_pref("browser.search.selectedEngine", "Winload Customized Web Search");
*************************
AdwCleaner[S1].txt - [11319 octets] - [10/02/2013 15:24:41]
########## EOF - C:\AdwCleaner[S1].txt - [11380 octets] ##########
aswMBR: Code:
ATTFilter aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-10 15:32:05
-----------------------------
15:32:05.484 OS Version: Windows 5.1.2600 Service Pack 3
15:32:05.484 Number of processors: 2 586 0x402
15:32:05.484 ComputerName: ***-***810*** UserName: ***
15:32:05.906 Initialize success
15:45:48.515 AVAST engine defs: 13021000
15:46:18.265 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
15:46:18.265 Disk 0 Vendor: SAMSUNG_HD105SI 1AJ100E4 Size: 953869MB BusType: 3
15:46:18.265 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T1L0-20
15:46:18.265 Disk 1 Vendor: SAMSUNG_HD103SJ 1AJ10001 Size: 953869MB BusType: 3
15:46:18.265 Disk 0 MBR read successfully
15:46:18.265 Disk 0 MBR scan
15:46:18.296 Disk 0 Windows XP default MBR code
15:46:18.296 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 204797 MB offset 63
15:46:18.296 Disk 0 Partition - 00 0F Extended LBA 749062 MB offset 419425020
15:46:18.312 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 749061 MB offset 419425083
15:46:18.312 Disk 0 scanning sectors +1953504000
15:46:18.359 Disk 0 scanning C:\WINDOWS\system32\drivers
15:46:22.906 Service scanning
15:46:33.000 Modules scanning
15:46:36.015 Disk 0 trace - called modules:
15:46:36.046 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
15:46:36.046 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8adb8ab8]
15:46:36.046 3 CLASSPNP.SYS[b8108fd7] -> nt!IofCallDriver -> \Device\0000007d[0x8adeef18]
15:46:36.046 5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x8ae7bd98]
15:46:36.468 AVAST engine scan C:\WINDOWS
15:46:50.718 AVAST engine scan C:\WINDOWS\system32
15:49:15.093 AVAST engine scan C:\WINDOWS\system32\drivers
15:49:23.343 AVAST engine scan C:\Dokumente und Einstellungen\***
15:51:31.281 AVAST engine scan C:\Dokumente und Einstellungen\All Users
15:52:43.796 Scan finished successfully
15:53:11.343 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
15:53:11.343 The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"
Für Deine weiteren Instruktionen im Voraus besten Dank. Gruß bartek71 |
|
10.02.2013, 20:46
| #8 |
| /// Helfer-Team | GVU Trojaner - Computer gesperrt - auch im abgesicherten ModusBeende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
danach: Downloade Dir bitte  SecurityCheck und:
|
|
10.02.2013, 21:59
| #9 |
| | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Hallo t´john, habe Avira deaktiviert! hier die Logfiles: JRT JRT Logfile: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.6.2 (02.02.2013:2)
OS: Microsoft Windows XP x86
Ran by *** on 10.02.2013 at 21:32:36,51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\DisplayName
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\URL
~~~ Registry Keys
~~~ Files
~~~ Folders
~~~ FireFox
Successfully deleted: [Folder] C:\Dokumente und Einstellungen\***\Anwendungsdaten\mozilla\firefox\profiles\03ulfj6s.default\extensions\VekaRecherche@veka.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10.02.2013 at 21:36:04,82
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zu Security Check gab es eine Fehlermeldung! Habe das Programm vom Desktop gestartet, mit dem Drücken einer beliebigen Taste fortgeführt. Im DOS-Fenster stand nur "Preparing". Gleichzeitig kam eine Fehlermeldung im neuen Fenster: AutoIt Error: Line -1: Error: Variable must be of type "Objekt" Ich habe auf den einzigen Butten dieser Fehlermeldung gedrückt: OK Danach lief das Programm und folgende Logfile wurde erstellt. Code:
ATTFilter Results of screen317's Security Check version 0.99.57 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Windows Security Center service is not running! This report may not be accurate! Warten Sie, w„hrend WMIC installiert wird. WMI entry may not exist for antivirus; attempting automatic update. Avira successfully updated! `````````Anti-malware/Other Utilities Check:````````` MVPS Hosts File Out of date HijackThis installed! Malwarebytes Anti-Malware Version 1.70.0.1100 HijackThis 2.0.2 Adobe Flash Player 11.3.300.270 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (18.0.2) Mozilla Thunderbird 16.0.2 Thunderbird out of Date! ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Gruß bartek71 |
|
11.02.2013, 01:05
| #10 |
| /// Helfer-Team | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Windows Repair Tool (AIO)
Aktualisiere: Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools) Dann deinstalliere: Hijackthis |
|
11.02.2013, 18:44
| #11 |
| | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Hallo t´john, habe eine Zwischenfrage zu Repair_Windows: Beim klicken auf den START-Button kommt eine Frage: "You haven´t created a restore point or backed up the registry. Would you like to do both now?" Soll ich das ignorieren und auf NEIN drücken? |
|
11.02.2013, 19:16
| #12 |
| /// Helfer-Team | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Nein.  |
|
11.02.2013, 20:27
| #13 |
| | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus So, alle Jobs erledigt! Windows Repair, Update Adobe Reader, Update FireFox Hijackthis deinstalliert! Wow, die Kiste war ganz schön zugemüllt, mein lieber Scholli! Sollte wohl immer darauf achten, dass auch Windows immer upgedatet ist! Oder? Habe dies nämlich vernachlässigt! Und nun, ist der PC jetzt sauber? Für weitere Anweisungen im Voraus besten Dank! |
|
12.02.2013, 07:08
| #14 | |
| /// Helfer-Team | GVU Trojaner - Computer gesperrt - auch im abgesicherten ModusZitat:
Sehr gut! damit bist Du sauber und entlassen!  adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
|
12.02.2013, 10:58
| #15 |
| | GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus Hallo t´john, alle Jobs erledigt! Das Zurücksetzen der Sicherheitszone habe ich nur beim IE nach Anleitung gefunden. Ich verwende Firefox, dort habe ich diese Möglichkeit nicht gefunden! Ist der IE in der Hinsicht besser? Die Lektüren habe ich auf 2. PC (Laptop) durchgelesen! An was man alles denken sollte! Diesen 2. PC habe ich bereits in allen Punkten aktualisiert! Ich traue mich noch nicht mit dem betroffenen PC ins Internet zu gehen, da bei meiner Virensoftware "Avira Internet Security 2012" der Browser-Schutz und Email-Schutz sich nicht mehr aktivieren lassen (obwohl in den Diensten der Browser-Schutz auf automatisch steht)!!! Hab jetzt mal ne Support-Mail an Avira geschrieben, mal schauen. Für Deinen tollen Job danke ich Dir vom ganzen Herzen!!! Ich wäre ohne Dich ganz schön aufgeschmießen!!! Ein großes Lob an alle im Team Trojaner-Board.de für das Engagement!!! Gruß und gute Zeit bartek71 |
|
| Themen zu GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus |
| .com, antivir, avira, bonjour, computer, desktop, device driver, einstellungen, explorer, festplatte, firefox, fontcache, gesperrt, gvu trojaner entfernen windows xp, infizierte, launch, log-datei, lws.exe, mozilla, performance, photoshop, plug-in, realtek, registry, rundll, scan, software, synology, tr/ransom.foreign.aagz, trojaner, windows, windows xp, winload toolbar |
.
Linear-Darstellung
