GVU Trojaner Windows 7

ibiza69 · 17.05.2013, 06:59

Hallo zusammen,

ich bitte einen der trojaner-board Spezialisten, mir bei folgendem Problem zu helfen:

Auf meinem PC wurde Windows 7 Ultimate (64 Bit) durch den GVU-Trojaner gesperrt. Die GVU in Verbindung mit dem Bundesamt für Sicherheit in der Informationstechnik wünscht sich nun angeblich 100 Euro via paysafecard bzw. ukash von mir. Ein Webcam-Foto wurde geschossen, die IP wurde zur Lokalisation verwendet.

Ich hab die viel Info von dem Forum gelesen aber kann ich nur bis Scanlog heisst FRST.txt kriegen, mehrere Schritt hab ich gar kein Idee.

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 16-05-2013
Ran by SYSTEM on 17-05-2013 07:10:02
Running from G:\
Windows 7 Ultimate (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [IntelliType Pro] "C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe" [1464944 2012-11-02] (Microsoft Corporation)
HKLM\...\Run: [IntelliPoint] "C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe" [2076272 2012-11-02] (Microsoft Corporation)
HKLM\...\Run: [Cm106Sound] C:\Windows\syswow64\RunDll32.exe C:\Windows\Syswow64\cm106.dll,CMICtrlWnd [8151040 2009-10-20] (C-Media Corporation)
HKLM\...\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice [6330568 2013-03-21] (ESET)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$9d40950f97e0ff58efb6fa3af29a1057\n. ATTENTION! ====> ZeroAccess
HKLM-x32\...\Run: [LWS] C:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe -hide [190808 2011-03-01] (Logitech Inc.)
HKLM-x32\...\Run: [USB3MON] "C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [291608 2012-03-26] (Intel Corporation)
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-11-28] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [152544 2012-12-12] (Apple Inc.)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2011-10-24] (Apple Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [RIMBBLaunchAgent.exe] C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe [267792 2013-01-17] (Research In Motion Limited)
HKU\Laurentius\...\Run: [Logitech Vid] "C:\Program Files (x86)\Logitech\Vid HD\Vid.exe" -bootmode [6129496 2011-01-12] (Logitech Inc.)
HKU\Laurentius\...\Run: [TBPanel] "C:\Program Files (x86)\EXPERTool\TBPanel.exe" /A [2048368 2012-07-13] (Gainward Co. Ltd.)
HKU\Laurentius\...\Run: [Spotify Web Helper] "C:\Users\Laurentius\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [1105408 2013-04-17] (Spotify Ltd)
HKU\Laurentius\...\Run: [Akamai NetSession Interface] "C:\Users\Laurentius\AppData\Local\Akamai\netsession_win.exe" [4480768 2013-01-25] (Akamai Technologies, Inc.)
HKU\Laurentius\...\Run: [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe [1081224 2013-02-04] (Autodesk, Inc.)
HKU\Laurentius\...\Run: [Hyihef] C:\Users\Laurentius\AppData\Roaming\Anlop\ybka.exe [x]
HKU\Laurentius\...\Winlogon: [Shell] explorer.exe,C:\Users\Laurentius\AppData\Roaming\skype.dat [74752 2011-11-16] () <==== ATTENTION 
HKU\UpdatusUser\...\Run: [PPS Accelerator] Y:\Jiali PPS\PPStream\PPSKernel.exe [x]

==================== Services (Whitelisted) =================

S2 Autodesk Content Service; C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe [12288 2012-12-13] (Autodesk, Inc.)
S3 Blackberry Device Manager; C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\BbDevMgr.exe [577536 2013-01-18] (Research In Motion Limited)
S2 ekrn; C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe [1341664 2013-03-21] (ESET)
S2 NitroReaderDriverReadSpool3; C:\Program Files\Common Files\Nitro\Reader\3.0\NitroPDFReaderDriverService3x64.exe [230416 2012-10-30] (Nitro PDF Software)
S3 PACSPTISVR-Sound_Organizer; "Y:\Jiali Sound Organizer\Sony.Earth\PACSPTISVR.exe" [x]

==================== Drivers (Whitelisted) ====================

S1 eamonm; C:\Windows\System32\DRIVERS\eamonm.sys [213416 2013-02-14] (ESET)
S1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [150616 2013-01-09] (ESET)
S2 epfw; C:\Windows\System32\DRIVERS\epfw.sys [190232 2013-01-09] (ESET)
S1 EpfwLWF; C:\Windows\System32\DRIVERS\EpfwLWF.sys [59440 2013-01-09] (ESET)
S0 epfwwfp; C:\Windows\System32\DRIVERS\epfwwfp.sys [58416 2013-02-14] (ESET)
S3 RimUsb; C:\Windows\System32\Drivers\RimUsb_AMD64.sys [78336 2013-01-03] (Research In Motion Limited)
S3 RimVSerPort; C:\Windows\System32\DRIVERS\RimSerial_AMD64.sys [44544 2012-12-10] (Research in Motion Ltd)
S3 USBMULCD; C:\Windows\System32\drivers\CM10664.sys [1307648 2009-09-29] (C-Media Electronics Inc)
S1 ISODrive; \??\Y:\Jiali Iso\UltraISO\drivers\ISODrv64.sys [x]
S3 MSICDSetup; \??\D:\CDriver64.sys [x]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [x]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x]
S3 tsusbhub; system32\drivers\tsusbhub.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-05-17 06:39 - 2013-05-17 06:39 - 00000000 ____D C:\FRST
2013-05-16 19:04 - 2013-05-16 20:59 - 00000004 ____A C:\Users\Laurentius\AppData\Roaming\skype.ini
2013-05-16 19:00 - 2013-05-16 19:00 - 00000761 ____A C:\Windows\System32\Drivers\etc\hosts.txt
2013-05-16 18:59 - 2013-05-16 19:15 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Anlop
2013-05-16 18:59 - 2013-05-16 18:59 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Dutuuc
2013-05-16 18:59 - 2013-05-16 18:59 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Bivio
2013-05-15 02:56 - 2013-05-15 02:58 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Nitro PDF
2013-05-15 02:55 - 2013-05-15 02:55 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\PrimoPDF
2013-05-15 02:53 - 2013-05-15 02:53 - 00002003 ____A C:\Users\Public\Desktop\Nitro Reader.lnk
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Nitro
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\FileOpen
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\ProgramData\Nitro
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\ProgramData\FileOpen
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Program Files\Common Files\Nitro
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Program Files (x86)\Nitro
2013-05-15 02:53 - 2012-10-30 09:10 - 00029712 ____A (Nitro PDF Software) C:\Windows\System32\nitrolocalmon2.dll
2013-05-15 02:53 - 2012-10-30 09:10 - 00017936 ____A (Nitro PDF Software) C:\Windows\System32\nitrolocalui2.dll
2013-05-15 02:50 - 2013-05-15 02:50 - 00001145 ____A C:\Users\Public\Desktop\PrimoPDF - Drop Files Here to Convert!.lnk
2013-05-15 02:50 - 2013-05-15 02:50 - 00000000 ____D C:\Program Files (x86)\Nitro PDF
2013-05-15 02:50 - 2009-12-20 17:42 - 00090624 ____A C:\Windows\System32\Primomonnt.dll
2013-05-13 03:40 - 2013-05-16 20:45 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA1ce4fcea9482dc7.job
2013-05-12 15:45 - 2013-05-12 15:45 - 00000160 ____A C:\Users\Laurentius\Downloads\plot.log
2013-05-12 15:39 - 2013-05-12 15:45 - 00518776 ____A C:\Users\Laurentius\Downloads\2cGrundlagenplan_FH_Hohenlinien_CM.dwg
2013-05-12 15:39 - 2013-05-12 15:39 - 00592298 ____A C:\Users\Laurentius\Downloads\2cGrundlagenplan_FH_Hohenlinien_CM.bak
2013-05-11 07:00 - 2013-05-11 07:00 - 03730109 ____A C:\Users\Laurentius\Downloads\Paint.NET.3.5.10.Install.zip
2013-05-10 05:31 - 2013-05-10 05:32 - 00000000 ____D C:\ProgramData\Skype
2013-05-10 05:30 - 2013-05-10 05:30 - 01337960 ____A (Skype Technologies S.A.) C:\Users\Laurentius\Downloads\SkypeSetup.exe
2013-05-08 09:10 - 2013-05-08 09:10 - 330378585 ____A C:\Windows\MEMORY.DMP
2013-05-08 09:10 - 2013-05-08 09:10 - 00292912 ____A C:\Windows\Minidump\050813-27674-01.dmp
2013-05-08 09:10 - 2013-05-08 09:10 - 00000000 ____D C:\Windows\Minidump
2013-05-07 07:48 - 2013-05-07 07:48 - 00000000 ____D C:\ProgramData\Google
2013-05-05 10:39 - 2013-05-05 10:39 - 00000000 ____D C:\ProgramData\FLEXnet
2013-05-05 08:55 - 2013-05-05 08:55 - 00002039 ____A C:\Users\Public\Desktop\Autodesk ReCap.lnk
2013-05-05 08:55 - 2013-05-05 08:55 - 00000000 ____D C:\ProgramData\FARO
2013-05-05 08:45 - 2013-05-05 08:45 - 00002003 ____A C:\Users\Public\Desktop\Autodesk 360.lnk
2013-05-05 08:30 - 2013-05-05 08:30 - 00000000 ____D C:\Users\Laurentius\Documents\Inventor Server SDK ACAD 2014
2013-05-05 08:25 - 2013-05-05 08:25 - 00002098 ____A C:\Users\Public\Desktop\AutoCAD 2014 - English.lnk
2013-05-05 08:24 - 2013-05-05 08:24 - 00000000 ____D C:\Users\Public\Documents\Autodesk
2013-05-05 07:55 - 2013-05-05 07:55 - 00000000 ____D C:\Program Files (x86)\Autodesk
2013-05-05 07:39 - 2013-05-05 07:39 - 00000000 ____D C:\Users\Laurentius\AppData\Local\Akamai
2013-05-05 07:38 - 2013-05-05 07:38 - 10934800 ____A C:\Users\Laurentius\Downloads\AutoCAD_2014_English_Win_32_64bit_wi_en-us_Setup(1).exe
2013-05-05 07:26 - 2013-05-05 07:27 - 10934800 ____A C:\Users\Laurentius\Downloads\AutoCAD_2014_English_Win_32_64bit_wi_en-us_Setup.exe
2013-05-05 07:06 - 2013-05-05 07:28 - 00000280 ____A C:\Users\Laurentius\Documents\acad.err
2013-05-05 07:04 - 2013-05-05 07:04 - 00000000 ____D C:\ProgramData\Adobe
2013-05-04 09:20 - 2013-05-07 21:35 - 00000000 ____D C:\ProgramData\EPSON
2013-05-04 06:05 - 2013-05-04 06:05 - 00000000 ____D C:\ProgramData\Apple Computer
2013-05-03 13:13 - 2013-05-03 13:13 - 00000000 ____D C:\ProgramData\LogiShrd
2013-05-03 13:11 - 2013-05-07 13:30 - 00000000 ____D C:\ProgramData\Autodesk
2013-05-03 13:11 - 2013-05-03 13:11 - 00000153 ____A C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
2013-05-03 13:11 - 2013-05-03 13:11 - 00000000 ____D C:\ProgramData\ESET
2013-05-03 13:10 - 2013-05-16 20:57 - 00000000 ____D C:\ProgramData\NVIDIA
2013-05-03 13:10 - 2013-05-03 13:10 - 00000000 ____D C:\ProgramData\Apple
2013-05-02 18:29 - 2013-05-02 18:29 - 00000000 ____D C:\NVIDIA Corporation
2013-05-02 18:13 - 2013-02-21 22:57 - 17817088 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-05-02 18:13 - 2013-02-21 22:29 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-05-02 18:13 - 2013-02-21 22:27 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-05-02 18:13 - 2013-02-21 22:21 - 01346560 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-05-02 18:13 - 2013-02-21 22:20 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-05-02 18:13 - 2013-02-21 22:19 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-05-02 18:13 - 2013-02-21 22:18 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-05-02 18:13 - 2013-02-21 22:17 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-05-02 18:13 - 2013-02-21 22:15 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-05-02 18:13 - 2013-02-21 22:15 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-05-02 18:13 - 2013-02-21 22:15 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-05-02 18:13 - 2013-02-21 22:14 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-05-02 18:13 - 2013-02-21 22:13 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-05-02 18:13 - 2013-02-21 22:13 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-05-02 18:13 - 2013-02-21 22:12 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-05-02 18:13 - 2013-02-21 22:09 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-05-02 18:13 - 2013-02-21 20:05 - 12324352 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-05-02 18:13 - 2013-02-21 19:47 - 09738752 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-05-02 18:13 - 2013-02-21 19:46 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-05-02 18:13 - 2013-02-21 19:38 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-05-02 18:13 - 2013-02-21 19:38 - 01104384 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-05-02 18:13 - 2013-02-21 19:37 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-05-02 18:13 - 2013-02-21 19:36 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-05-02 18:13 - 2013-02-21 19:35 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-05-02 18:13 - 2013-02-21 19:34 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-05-02 18:13 - 2013-02-21 19:34 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-05-02 18:13 - 2013-02-21 19:34 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-05-02 18:13 - 2013-02-21 19:33 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-05-02 18:13 - 2013-02-21 19:32 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-05-02 18:13 - 2013-02-21 19:31 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-05-02 18:13 - 2013-02-21 19:31 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-05-02 18:13 - 2013-02-21 19:28 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-05-02 17:57 - 2013-02-14 22:08 - 00044032 ____A (Microsoft Corporation) C:\Windows\System32\tsgqec.dll
2013-05-02 17:57 - 2013-02-14 22:06 - 03717632 ____A (Microsoft Corporation) C:\Windows\System32\mstscax.dll
2013-05-02 17:57 - 2013-02-14 22:02 - 00158720 ____A (Microsoft Corporation) C:\Windows\System32\aaclient.dll
2013-05-02 17:57 - 2013-02-14 20:37 - 03217408 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mstscax.dll
2013-05-02 17:57 - 2013-02-14 20:34 - 00131584 ____A (Microsoft Corporation) C:\Windows\SysWOW64\aaclient.dll
2013-05-02 17:57 - 2013-02-14 19:25 - 00036864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\tsgqec.dll
2013-05-02 17:56 - 2013-03-18 22:04 - 05550424 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-05-02 17:56 - 2013-01-03 21:46 - 00215040 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2013-05-02 17:56 - 2013-01-03 20:51 - 00005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2013-05-02 17:56 - 2013-01-03 18:47 - 00025600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2013-05-02 17:56 - 2013-01-03 18:47 - 00014336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2013-05-02 17:56 - 2013-01-03 18:47 - 00007680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2013-05-02 17:56 - 2013-01-03 18:47 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2013-05-02 17:56 - 2013-01-02 22:00 - 01913192 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-05-02 17:56 - 2013-01-02 22:00 - 00288088 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\FWPKCLNT.SYS
2013-05-02 17:56 - 2012-08-22 10:12 - 00376688 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\netio.sys
2013-05-02 17:55 - 2013-04-12 06:45 - 01656680 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
2013-05-02 17:55 - 2013-03-18 21:46 - 00043520 ____A (Microsoft Corporation) C:\Windows\System32\csrsrv.dll
2013-05-02 17:55 - 2013-03-18 21:04 - 03968856 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2013-05-02 17:55 - 2013-03-18 21:04 - 03913560 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2013-05-02 17:55 - 2013-03-18 20:47 - 00006656 ____A (Microsoft Corporation) C:\Windows\SysWOW64\apisetschema.dll
2013-05-02 17:55 - 2013-03-18 19:06 - 00112640 ____A (Microsoft Corporation) C:\Windows\System32\smss.exe
2013-05-02 17:54 - 2013-02-28 19:36 - 03153408 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-05-02 17:54 - 2013-02-11 20:12 - 00019968 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\usb8023.sys
2013-05-02 17:54 - 2013-01-23 22:01 - 00223752 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fvevol.sys
2013-05-02 17:51 - 2012-10-09 10:17 - 00226816 ____A (Microsoft Corporation) C:\Windows\System32\dhcpcore6.dll
2013-05-02 17:51 - 2012-10-09 10:17 - 00055296 ____A (Microsoft Corporation) C:\Windows\System32\dhcpcsvc6.dll
2013-05-02 17:51 - 2012-10-09 09:40 - 00193536 ____A (Microsoft Corporation) C:\Windows\SysWOW64\dhcpcore6.dll
2013-05-02 17:51 - 2012-10-09 09:40 - 00044032 ____A (Microsoft Corporation) C:\Windows\SysWOW64\dhcpcsvc6.dll
2013-05-02 17:51 - 2012-10-03 09:44 - 00303104 ____A (Microsoft Corporation) C:\Windows\System32\nlasvc.dll
2013-05-02 17:51 - 2012-10-03 09:44 - 00246272 ____A (Microsoft Corporation) C:\Windows\System32\netcorehc.dll
2013-05-02 17:51 - 2012-10-03 09:44 - 00216576 ____A (Microsoft Corporation) C:\Windows\System32\ncsi.dll
2013-05-02 17:51 - 2012-10-03 09:44 - 00070656 ____A (Microsoft Corporation) C:\Windows\System32\nlaapi.dll
2013-05-02 17:51 - 2012-10-03 09:44 - 00018944 ____A (Microsoft Corporation) C:\Windows\System32\netevent.dll
2013-05-02 17:51 - 2012-10-03 09:42 - 00569344 ____A (Microsoft Corporation) C:\Windows\System32\iphlpsvc.dll
2013-05-02 17:51 - 2012-10-03 08:42 - 00175104 ____A (Microsoft Corporation) C:\Windows\SysWOW64\netcorehc.dll
2013-05-02 17:51 - 2012-10-03 08:42 - 00156672 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ncsi.dll
2013-05-02 17:51 - 2012-10-03 08:42 - 00018944 ____A (Microsoft Corporation) C:\Windows\SysWOW64\netevent.dll
2013-05-02 17:51 - 2012-10-03 08:07 - 00045568 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpipreg.sys
2013-05-02 17:51 - 2012-08-21 13:01 - 00245760 ____A (Microsoft Corporation) C:\Windows\System32\OxpsConverter.exe
2013-05-02 17:51 - 2012-01-12 23:12 - 00052224 ____A (Microsoft Corporation) C:\Windows\SysWOW64\nlaapi.dll
2013-05-02 17:26 - 2013-05-02 17:26 - 00000000 ____D C:\Program Files\ESET
2013-04-29 08:21 - 2013-04-29 08:21 - 00001181 ____A C:\Users\Public\Desktop\Machinarium Demo.lnk
2013-04-29 08:21 - 2013-04-29 08:21 - 00000000 ____D C:\Program Files (x86)\Daedalic Entertainment
2013-04-29 08:18 - 2013-04-29 08:20 - 36109356 ____A (Daedalic Entertainment                                      ) C:\Users\Laurentius\Downloads\MachinariumDemoWin.exe
2013-04-29 08:08 - 2013-04-29 08:09 - 00392536 ____A (Softonic                                        ) C:\Users\Laurentius\Downloads\SoftonicDownloader_fuer_machinarium.exe
2013-04-26 08:02 - 2013-04-26 08:04 - 38494576 ____A (Apple Inc.) C:\Users\Laurentius\Downloads\SafariSetup-5.1.7.exe
2013-04-20 03:35 - 2013-04-20 03:35 - 00000232 ____A C:\Windows\Cm106.ini.cfl
2013-04-20 03:35 - 2013-04-20 03:35 - 00000116 ____A C:\Windows\Cm106.ini.imi
2013-04-20 03:35 - 2009-10-20 01:03 - 08151040 ____A (C-Media Corporation) C:\Windows\SysWOW64\CM106.dll
2013-04-20 03:35 - 2009-10-20 01:03 - 00389120 ____A () C:\Windows\System32\CM106.cpl
2013-04-20 03:35 - 2009-10-20 01:03 - 00200704 ____A (C-Media) C:\Windows\SysWOW64\cmpa106.dll
2013-04-20 03:35 - 2009-10-20 01:03 - 00143360 ____A C:\Windows\Vmix106.dll
2013-04-20 03:35 - 2009-10-20 01:03 - 00000518 ____A C:\Windows\cm106.ini
2013-04-20 03:35 - 2009-10-20 01:02 - 00787456 ____A C:\Windows\System32\Cmeau106.exe
2013-04-20 03:35 - 2009-10-20 01:02 - 00524768 ____A (Microsoft Corporation) C:\Windows\difxapi.dll
2013-04-20 03:35 - 2009-10-20 01:02 - 00359424 ____A C:\Windows\System32\CmiInstallResAll64.dll
2013-04-20 03:35 - 2009-10-20 01:01 - 00002391 ____A C:\Windows\Cm106.ini.cfg
2013-04-20 03:16 - 2013-04-20 03:16 - 00000000 ____D C:\Users\Laurentius\Desktop\DirectX
2013-04-20 03:13 - 2013-04-20 03:13 - 00000000 ____D C:\Program Files (x86)\DirectX
2013-04-20 03:02 - 2013-04-20 03:12 - 100273008 ____A (Microsoft Corporation) C:\Users\Laurentius\Downloads\directx_Jun2010redist.exe
2013-04-18 04:17 - 2013-04-18 04:19 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Sony Corporation
2013-04-18 04:16 - 2013-04-18 04:16 - 00055280 ____N (Sonic Solutions) C:\Windows\System32\Drivers\PxHlpa64.sys
2013-04-18 04:16 - 2013-04-18 04:16 - 00010224 ____N (Sonic Solutions) C:\Windows\System32\Drivers\cdralw2k.sys
2013-04-18 04:16 - 2013-04-18 04:16 - 00010224 ____N (Sonic Solutions) C:\Windows\System32\Drivers\cdr4_xp.sys
2013-04-18 04:10 - 2013-04-18 04:10 - 00000000 ____D C:\Users\Laurentius\Documents\My ISO Files
2013-04-17 23:23 - 2013-04-22 13:05 - 00000000 ____D C:\ppsfile

==================== One Month Modified Files and Folders =======

2013-05-17 06:39 - 2013-05-17 06:39 - 00000000 ____D C:\FRST
2013-05-16 20:59 - 2013-05-16 19:04 - 00000004 ____A C:\Users\Laurentius\AppData\Roaming\skype.ini
2013-05-16 20:58 - 2013-01-16 16:10 - 00001114 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-05-16 20:58 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-05-16 20:57 - 2013-05-03 13:10 - 00000000 ____D C:\ProgramData\NVIDIA
2013-05-16 20:57 - 2009-07-13 20:51 - 00031067 ____A C:\Windows\setupact.log
2013-05-16 20:47 - 2013-01-09 18:49 - 01669903 ____A C:\Windows\WindowsUpdate.log
2013-05-16 20:47 - 2009-07-13 20:45 - 00016944 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-05-16 20:47 - 2009-07-13 20:45 - 00016944 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-05-16 20:45 - 2013-05-13 03:40 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA1ce4fcea9482dc7.job
2013-05-16 19:15 - 2013-05-16 18:59 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Anlop
2013-05-16 19:11 - 2013-01-10 13:19 - 00049876 ____A C:\Windows\PFRO.log
2013-05-16 19:06 - 2013-01-12 08:52 - 00000830 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-05-16 19:00 - 2013-05-16 19:00 - 00000761 ____A C:\Windows\System32\Drivers\etc\hosts.txt
2013-05-16 18:59 - 2013-05-16 18:59 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Dutuuc
2013-05-16 18:59 - 2013-05-16 18:59 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Bivio
2013-05-16 17:58 - 2013-02-11 00:13 - 00374696 ____A C:\Windows\System32\prfh0804.dat
2013-05-16 17:58 - 2013-02-11 00:13 - 00118730 ____A C:\Windows\System32\prfc0804.dat
2013-05-16 17:58 - 2009-07-13 21:13 - 01272124 ____A C:\Windows\System32\PerfStringBackup.INI
2013-05-15 02:58 - 2013-05-15 02:56 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Nitro PDF
2013-05-15 02:58 - 2013-03-18 12:42 - 00002028 ____A C:\Users\Laurentius\Documents\plot.log
2013-05-15 02:55 - 2013-05-15 02:55 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\PrimoPDF
2013-05-15 02:53 - 2013-05-15 02:53 - 00002003 ____A C:\Users\Public\Desktop\Nitro Reader.lnk
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Nitro
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\FileOpen
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\ProgramData\Nitro
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\ProgramData\FileOpen
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Program Files\Common Files\Nitro
2013-05-15 02:53 - 2013-05-15 02:53 - 00000000 ____D C:\Program Files (x86)\Nitro
2013-05-15 02:50 - 2013-05-15 02:50 - 00001145 ____A C:\Users\Public\Desktop\PrimoPDF - Drop Files Here to Convert!.lnk
2013-05-15 02:50 - 2013-05-15 02:50 - 00000000 ____D C:\Program Files (x86)\Nitro PDF
2013-05-15 02:50 - 2013-01-25 09:59 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\OpenCandy
2013-05-15 02:50 - 2009-12-20 17:42 - 00000326 ____A C:\Windows\primopdf.ini
2013-05-14 12:02 - 2013-01-10 13:39 - 00000000 ____D C:\Users\Laurentius\Graphisoft
2013-05-13 18:25 - 2013-01-12 09:18 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\vlc
2013-05-13 15:24 - 2013-01-12 09:42 - 00000000 ____D C:\Users\Laurentius\AppData\Local\cache
2013-05-12 15:46 - 2009-07-13 21:32 - 00000000 ____D C:\Windows\System32\FxsTmp
2013-05-12 15:45 - 2013-05-12 15:45 - 00000160 ____A C:\Users\Laurentius\Downloads\plot.log
2013-05-12 15:45 - 2013-05-12 15:39 - 00518776 ____A C:\Users\Laurentius\Downloads\2cGrundlagenplan_FH_Hohenlinien_CM.dwg
2013-05-12 15:39 - 2013-05-12 15:39 - 00592298 ____A C:\Users\Laurentius\Downloads\2cGrundlagenplan_FH_Hohenlinien_CM.bak
2013-05-12 10:40 - 2013-01-09 11:33 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Skype
2013-05-11 07:00 - 2013-05-11 07:00 - 03730109 ____A C:\Users\Laurentius\Downloads\Paint.NET.3.5.10.Install.zip
2013-05-10 05:32 - 2013-05-10 05:31 - 00000000 ____D C:\ProgramData\Skype
2013-05-10 05:32 - 2013-01-28 08:14 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-05-10 05:30 - 2013-05-10 05:30 - 01337960 ____A (Skype Technologies S.A.) C:\Users\Laurentius\Downloads\SkypeSetup.exe
2013-05-08 09:10 - 2013-05-08 09:10 - 330378585 ____A C:\Windows\MEMORY.DMP
2013-05-08 09:10 - 2013-05-08 09:10 - 00292912 ____A C:\Windows\Minidump\050813-27674-01.dmp
2013-05-08 09:10 - 2013-05-08 09:10 - 00000000 ____D C:\Windows\Minidump
2013-05-08 09:10 - 2009-07-13 20:45 - 00498208 ____A C:\Windows\System32\FNTCACHE.DAT
2013-05-07 21:35 - 2013-05-04 09:20 - 00000000 ____D C:\ProgramData\EPSON
2013-05-07 13:30 - 2013-05-03 13:11 - 00000000 ____D C:\ProgramData\Autodesk
2013-05-07 07:48 - 2013-05-07 07:48 - 00000000 ____D C:\ProgramData\Google
2013-05-06 10:50 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\rescache
2013-05-05 10:39 - 2013-05-05 10:39 - 00000000 ____D C:\ProgramData\FLEXnet
2013-05-05 10:39 - 2013-01-12 09:35 - 00000000 ____D C:\Users\Laurentius\AppData\Local\Autodesk
2013-05-05 10:39 - 2013-01-12 09:30 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Autodesk
2013-05-05 10:38 - 2013-01-09 11:40 - 00144904 ____A C:\Users\Laurentius\AppData\Local\GDIPFONTCACHEV1.DAT
2013-05-05 08:55 - 2013-05-05 08:55 - 00002039 ____A C:\Users\Public\Desktop\Autodesk ReCap.lnk
2013-05-05 08:55 - 2013-05-05 08:55 - 00000000 ____D C:\ProgramData\FARO
2013-05-05 08:55 - 2013-01-12 09:35 - 00000000 ____D C:\Program Files\Autodesk
2013-05-05 08:45 - 2013-05-05 08:45 - 00002003 ____A C:\Users\Public\Desktop\Autodesk 360.lnk
2013-05-05 08:30 - 2013-05-05 08:30 - 00000000 ____D C:\Users\Laurentius\Documents\Inventor Server SDK ACAD 2014
2013-05-05 08:30 - 2013-01-12 09:35 - 00000000 ____D C:\Program Files\Common Files\Autodesk Shared
2013-05-05 08:25 - 2013-05-05 08:25 - 00002098 ____A C:\Users\Public\Desktop\AutoCAD 2014 - English.lnk
2013-05-05 08:24 - 2013-05-05 08:24 - 00000000 ____D C:\Users\Public\Documents\Autodesk
2013-05-05 07:55 - 2013-05-05 07:55 - 00000000 ____D C:\Program Files (x86)\Autodesk
2013-05-05 07:47 - 2013-01-09 10:57 - 00030864 ____A C:\Windows\DirectX.log
2013-05-05 07:39 - 2013-05-05 07:39 - 00000000 ____D C:\Users\Laurentius\AppData\Local\Akamai
2013-05-05 07:39 - 2013-01-08 06:25 - 00000000 ____D C:\Autodesk
2013-05-05 07:38 - 2013-05-05 07:38 - 10934800 ____A C:\Users\Laurentius\Downloads\AutoCAD_2014_English_Win_32_64bit_wi_en-us_Setup(1).exe
2013-05-05 07:28 - 2013-05-05 07:06 - 00000280 ____A C:\Users\Laurentius\Documents\acad.err
2013-05-05 07:27 - 2013-05-05 07:26 - 10934800 ____A C:\Users\Laurentius\Downloads\AutoCAD_2014_English_Win_32_64bit_wi_en-us_Setup.exe
2013-05-05 07:04 - 2013-05-05 07:04 - 00000000 ____D C:\ProgramData\Adobe
2013-05-04 06:31 - 2013-01-12 16:29 - 00000000 ____D C:\Program Files (x86)\Heroes of Newerth
2013-05-04 06:05 - 2013-05-04 06:05 - 00000000 ____D C:\ProgramData\Apple Computer
2013-05-03 13:13 - 2013-05-03 13:13 - 00000000 ____D C:\ProgramData\LogiShrd
2013-05-03 13:11 - 2013-05-03 13:11 - 00000153 ____A C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bcHallo zusammen, 

ich bitte einen der trojaner-board Spezialisten, mir bei folgendem Problem zu helfen:

Auf meinem Notebook wurde Windows 7 Home Premium (64 Bit) durch den GVU-Trojaner gesperrt. Die GVU in Verbindung mit dem Bundesamt für Sicherheit in der Informationstechnik wünscht sich nun angeblich 100 Euro via paysafecard bzw. ukash von mir. Ein Webcam-Foto wurde geschossen, die IP wurde zur Lokalisation verwendet.

Ich konnte die gewünschten Logs bisher nicht anhängen, da ich keinen Zugriff mehr auf den Rechner habe (auch Taskmanager ist gesperrt). Auf dem Rechner sind zwei Benutzerkonten mit Kennwort eingerichtet. 

Wie muß ich vorgehen, um das Problem wieder loszuwerden?

Schönen Gruß
riddick
2013-05-03 13:11 - 2013-05-03 13:11 - 00000000 ____D C:\ProgramData\ESET
2013-05-03 13:10 - 2013-05-03 13:10 - 00000000 ____D C:\ProgramData\Apple
2013-05-02 18:29 - 2013-05-02 18:29 - 00000000 ____D C:\NVIDIA Corporation
2013-05-02 18:23 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\PolicyDefinitions
2013-05-02 18:16 - 2013-01-09 11:07 - 00000000 ____D C:\Program Files (x86)\NVIDIA Corporation
2013-05-02 18:15 - 2013-01-09 11:06 - 00000000 ____D C:\Program Files\NVIDIA Corporation
2013-05-02 17:26 - 2013-05-02 17:26 - 00000000 ____D C:\Program Files\ESET
2013-05-01 16:06 - 2013-01-09 10:48 - 00278800 ____N (Microsoft Corporation) C:\Windows\System32\MpSigStub.exe
2013-04-29 08:21 - 2013-04-29 08:21 - 00001181 ____A C:\Users\Public\Desktop\Machinarium Demo.lnk
2013-04-29 08:21 - 2013-04-29 08:21 - 00000000 ____D C:\Program Files (x86)\Daedalic Entertainment
2013-04-29 08:20 - 2013-04-29 08:18 - 36109356 ____A (Daedalic Entertainment                                      ) C:\Users\Laurentius\Downloads\MachinariumDemoWin.exe
2013-04-29 08:09 - 2013-04-29 08:08 - 00392536 ____A (Softonic                                        ) C:\Users\Laurentius\Downloads\SoftonicDownloader_fuer_machinarium.exe
2013-04-26 08:04 - 2013-04-26 08:02 - 38494576 ____A (Apple Inc.) C:\Users\Laurentius\Downloads\SafariSetup-5.1.7.exe
2013-04-22 13:05 - 2013-04-17 23:23 - 00000000 ____D C:\ppsfile
2013-04-22 13:05 - 2013-02-10 23:27 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\PPStream
2013-04-22 08:58 - 2013-03-24 10:24 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Spotify
2013-04-22 08:31 - 2013-03-24 10:25 - 00000000 ____D C:\Users\Laurentius\AppData\Local\Spotify
2013-04-20 03:35 - 2013-04-20 03:35 - 00000232 ____A C:\Windows\Cm106.ini.cfl
2013-04-20 03:35 - 2013-04-20 03:35 - 00000116 ____A C:\Windows\Cm106.ini.imi
2013-04-20 03:35 - 2013-01-09 10:02 - 00000000 ____D C:\Users\Laurentius\AppData\Local\VirtualStore
2013-04-20 03:35 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\system
2013-04-20 03:16 - 2013-04-20 03:16 - 00000000 ____D C:\Users\Laurentius\Desktop\DirectX
2013-04-20 03:13 - 2013-04-20 03:13 - 00000000 ____D C:\Program Files (x86)\DirectX
2013-04-20 03:12 - 2013-04-20 03:02 - 100273008 ____A (Microsoft Corporation) C:\Users\Laurentius\Downloads\directx_Jun2010redist.exe
2013-04-20 03:12 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\System32\NDF
2013-04-19 11:03 - 2013-02-12 02:50 - 00000000 ____D C:\Users\Laurentius\Desktop\Attest
2013-04-18 04:19 - 2013-04-18 04:17 - 00000000 ____D C:\Users\Laurentius\AppData\Roaming\Sony Corporation
2013-04-18 04:16 - 2013-04-18 04:16 - 00055280 ____N (Sonic Solutions) C:\Windows\System32\Drivers\PxHlpa64.sys
2013-04-18 04:16 - 2013-04-18 04:16 - 00010224 ____N (Sonic Solutions) C:\Windows\System32\Drivers\cdralw2k.sys
2013-04-18 04:16 - 2013-04-18 04:16 - 00010224 ____N (Sonic Solutions) C:\Windows\System32\Drivers\cdr4_xp.sys
2013-04-18 04:10 - 2013-04-18 04:10 - 00000000 ____D C:\Users\Laurentius\Documents\My ISO Files

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-836954075-1581981444-1586776100-1000\$9d40950f97e0ff58efb6fa3af29a1057

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$9d40950f97e0ff58efb6fa3af29a1057

Other Malware:
===========
C:\Users\Laurentius\AppData\Roaming\skype.dat
C:\Users\Laurentius\AppData\Roaming\skype.ini

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-05-03 13:22:48
Restore point made on: 2013-05-05 07:47:16
Restore point made on: 2013-05-15 02:51:08

==================== Memory info =========================== 

Percentage of memory in use: 9%
Total physical RAM: 8140.89 MB
Available physical RAM: 7330.58 MB
Total Pagefile: 8139.04 MB
Available Pagefile: 7324.53 MB
Total Virtual: 8192 MB
Available Virtual: 8191.88 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:482.38 GB) (Free:326.11 GB) NTFS (Disk=0 Partition=2)
Drive e: (New Volume) (Fixed) (Total:449.03 GB) (Free:254.01 GB) NTFS (Disk=0 Partition=3)
Drive g: (HP v210w) (Removable) (Total:30.27 GB) (Free:30.26 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: 562306BD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=482 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=449 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 30 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=30 GB) - (Type=0C)


Last Boot: 2013-05-14 11:15

==================== End Of Log ============================

Schönen Gruß
ivan

t'john · 17.05.2013, 10:06

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt
Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\Laurentius\...\Run: [Hyihef] C:\Users\Laurentius\AppData\Roaming\Anlop\ybka.exe [x] 
HKU\Laurentius\...\Winlogon: [Shell] explorer.exe,C:\Users\Laurentius\AppData\Roaming\skype.dat [74752 2011-11-16] () <==== ATTENTION 
C:\Users\Laurentius\AppData\Roaming\skype.ini 
C:\Users\Laurentius\AppData\Roaming\skype.dat

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

2. Schritt
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

t'john · 13.07.2013, 15:35

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

GVU Trojaner Windows 7

Log-Analyse und Auswertung: GVU Trojaner Windows 7