Hallo,

ich habe mir den GVU-Trojaner eingefangen. Auch im abgesicherten Modus lässt sich mein Notebook nicht starten. Sobald ich im abgesicherten Modus mein Benutzerpasswort eingebe, fährt er von selbst wieder runter und startet neu. Ich habe also absolut keinen Zugriff mehr auf den PC.

Betriebssystem: Windows 7
F-Secure Internet Security 2013

Wichtig ist mir vor allem, Zugriff auf meine Daten zu bekommen um diese zu sichern. Es wäre super, wenn ihr mir dabei helfen könnt! Ich habe leider nicht ganz so viel Ahnung.

Vielen Dank
Dolomiten

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Servus,



du brauchst einen USB-Stick und einen zweiten Rechner.





Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).

• Schließe diesen USB-Stick nun an den infizierten Rechner an.
• Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung.
• In der Kommandozeile gib nun notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schließe Notepad wieder.
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf dem USB-Stick gespeichert.
• Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

Erst einmal vielen Dank für die schnelle Antwort!

Einen zweiten Rechner und USB-Stick mit OTL habe ich.
Wenn ich nun den Rechner im abgesicherten Modus mit Eingabeaufforderung starten möchte, erscheint erst der Startbildschirm mit den Benutzerkonten. Nachdem ich mein Passwort eingegeben habe, blinkt ganz kurz eine fast schwarze Seite auf (Das könnte gut die Seite mit der Kommandozeile sein.) und dann fährt der PC von selbst runter und wieder hoch.

Servus,



alles klar. Dann brauchen wir FRST:





Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Das scheint geklappt zu haben:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 01-06-2013 02
Ran by SYSTEM on 02-06-2013 12:53:05
Running from G:\
Windows 7 Home Premium (X86) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [98304 2009-12-17] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [8120864 2009-12-22] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe /FORPCEE3 [678432 2009-12-22] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [1594664 2009-12-10] (Synaptics Incorporated)
HKLM\...\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe" [103720 2009-11-02] (CyberLink)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [35760 2010-06-19] (Adobe Systems Incorporated)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe" [1821576 2011-08-01] (Microsoft Corporation)
HKLM\...\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot [210472 2006-10-24] (Nuance Communications, Inc.)
HKLM\...\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [29984 2008-07-09] (Nuance Communications, Inc.)
HKLM\...\Run: [IndexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [46368 2008-07-09] (Nuance Communications, Inc.)
HKLM\...\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" [309 2013-05-28] ()
HKLM\...\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN [1159168 2009-05-26] (Brother Industries, Ltd.)
HKLM\...\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun [114688 2008-12-24] (Brother Industries, Ltd.)
HKLM\...\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash [200360 2011-10-22] (F-Secure Corporation)
HKLM\...\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW [1654440 2011-10-22] (F-Secure Corporation)
HKLM\...\Run: [MailCheck IE Broker] "C:\Program Files\WEB.DE MailCheck\IE\WEB.DE_MailCheck_Broker.exe" [1463000 2012-12-21] (1und1 Mail und Media GmbH)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-02] (Sun Microsystems, Inc.)
HKLM\...\Run: []  [x]
HKLM\...\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" [1646216 2013-03-31] (Ask)
HKU\Default\...\RunOnce: [MEDION] C:\Windows\Web\Wallpaper\MEDION\start.vbs [x]
HKU\Default\...\RunOnce: [Screensaver] C:\Windows\Web\Wallpaper\MEDION\start.vbs [x]
HKU\Default User\...\RunOnce: [MEDION] C:\Windows\Web\Wallpaper\MEDION\start.vbs [x]
HKU\Default User\...\RunOnce: [Screensaver] C:\Windows\Web\Wallpaper\MEDION\start.vbs [x]
HKU\***\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [x]
HKU\***\...\Run: [ICQ] "C:\Program Files\ICQ7.2\ICQ.exe" silent loginmode=4 [ 2011-01-05] (ICQ, LLC.)
HKU\***\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\***\Documents\32549e08.exe [ 2013-05-30] (Adobe Systems Incorporated)
HKU\***\...\Winlogon: [Shell] cmd.exe [ 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
Startup: C:\ProgramData\Start Menu\Programs\Startup\WISO Mein Sparbuch heute.lnk
ShortcutTarget: WISO Mein Sparbuch heute.lnk -> C:\Program Files\WISO\Sparbuch 2009\meinsparbuchheute.exe ()
Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk ->  (No File)
Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
ShortcutTarget: OpenOffice.org 3.2.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Product Registration.lnk
ShortcutTarget: Product Registration.lnk ->  (No File)

========================== Services (Whitelisted) =================

S2 EPSON_EB_RPCV4_01; C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE [143872 2007-12-16] (SEIKO EPSON CORPORATION)
S2 EPSON_PM_RPCV4_01; C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE [113664 2007-01-10] (SEIKO EPSON CORPORATION)
S2 F-Secure Gatekeeper Handler Starter; C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe [220840 2011-10-22] (F-Secure Corporation)
S3 FSDFWD; C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe [528040 2011-10-22] (F-Secure Corporation)
S2 FSMA; C:\Program Files\F-Secure\Common\FSMA32.EXE [188072 2011-10-22] (F-Secure Corporation)
S3 FSORSPClient; C:\Program Files\F-Secure\ORSP Client\fsorsp.exe [61088 2011-10-22] (F-Secure Corporation)
S2 ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [247608 2010-11-21] ()
S2 RichVideo; C:\Program Files\CyberLink\Shared files\RichVideo.exe [244904 2010-02-10] ()
S2 x10nets; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [20480 2009-11-07] (X10)

==================== Drivers (Whitelisted) ====================

S3 F-Secure Gatekeeper; C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys [145464 2013-02-27] ()
S1 F-Secure HIPS; C:\Program Files\F-Secure\HIPS\drivers\fshs.sys [71496 2011-10-22] (F-Secure Corporation)
S0 fsbts; C:\Windows\System32\Drivers\fsbts.sys [44240 2012-08-15] ()
S1 FSES; C:\Windows\System32\drivers\fses.sys [36808 2011-10-22] (F-Secure Corporation)
S1 FSFW; C:\Windows\System32\drivers\fsdfw.sys [71816 2011-10-22] (F-Secure Corporation)
S1 fsvista; C:\Program Files\F-Secure\Anti-Virus\minifilter\fsvista.sys [13480 2011-10-22] ()
S3 NuidFltr; C:\Windows\System32\DRIVERS\NuidFltr.sys [21784 2011-08-01] (Microsoft Corporation)
S3 TrdCap; C:\Windows\System32\DRIVERS\TrdCap.sys [1554472 2010-06-09] (Trident Microsystems, Inc.)
S3 X10Hid; C:\Windows\System32\Drivers\x10hid.sys [13720 2009-05-13] (X10 Wireless Technology, Inc.)
S3 XUIF; C:\Windows\System32\Drivers\x10ufx2.sys [27160 2009-05-13] (X10 Wireless Technology, Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-02 12:52 - 2013-06-02 12:52 - 00000000 ____D C:\FRST
2013-05-30 13:34 - 2013-05-30 13:34 - 01084734 ____A C:\Users\***\AppData\Local\2433f433
2013-05-30 13:34 - 2013-05-30 13:34 - 01084727 ____A C:\Users\***\AppData\Roaming\2433f433
2013-05-30 13:34 - 2013-05-30 13:34 - 01084703 ____A C:\ProgramData\2433f433
2013-05-30 13:34 - 2013-05-30 13:34 - 00043520 ____A (Adobe Systems Incorporated) C:\Users\***\Documents\32549e08.exe
2013-05-30 13:34 - 2013-05-30 13:34 - 00043520 ____A (Adobe Systems Incorporated) C:\Users\***\Documents\32549e08.dll
2013-05-20 15:54 - 2013-05-20 15:54 - 00000000 ____A C:\Windows\System32\sho9AF2.tmp
2013-05-16 08:20 - 2013-04-04 14:11 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-05-16 08:20 - 2013-04-04 14:09 - 09738752 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-05-16 08:20 - 2013-04-04 14:02 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-05-16 08:20 - 2013-04-04 14:02 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-05-16 08:20 - 2013-04-04 14:02 - 01104384 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-05-16 08:20 - 2013-04-04 14:01 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-05-16 08:20 - 2013-04-04 13:59 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-05-16 08:20 - 2013-04-04 13:58 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-05-16 08:20 - 2013-04-04 13:58 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-05-16 08:20 - 2013-04-04 13:57 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-05-16 08:20 - 2013-04-04 13:56 - 00607744 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-05-16 08:20 - 2013-04-04 13:55 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-05-16 08:20 - 2013-04-04 13:54 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-05-16 08:20 - 2013-04-04 13:50 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-05-16 08:19 - 2013-05-05 11:25 - 12324864 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-05-16 08:19 - 2013-05-05 11:12 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-05-16 05:57 - 2013-04-09 19:14 - 02347520 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-05-16 05:56 - 2013-03-18 20:53 - 00186368 ____A (Microsoft Corporation) C:\Windows\System32\wwansvc.dll
2013-05-16 05:56 - 2013-03-18 19:33 - 00040960 ____A (Microsoft Corporation) C:\Windows\System32\wwanprotdim.dll
2013-05-15 21:11 - 2013-04-09 21:18 - 00728424 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\dxgkrnl.sys
2013-05-15 21:11 - 2013-04-09 21:18 - 00218984 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\dxgmms1.sys
2013-05-15 21:10 - 2013-02-26 21:05 - 00101720 ____A (Microsoft Corporation) C:\Windows\System32\consent.exe
2013-05-15 21:10 - 2013-02-26 20:55 - 12872704 ____A (Microsoft Corporation) C:\Windows\System32\shell32.dll
2013-05-15 21:10 - 2013-02-26 20:55 - 00180224 ____A (Microsoft Corporation) C:\Windows\System32\shdocvw.dll
2013-05-15 21:10 - 2013-02-26 20:49 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\authui.dll
2013-05-15 21:10 - 2013-02-26 20:49 - 00047104 ____A (Microsoft Corporation) C:\Windows\System32\appinfo.dll
2013-05-07 12:34 - 2013-05-07 12:52 - 00000000 ____D C:\Users\***\Desktop\Domian

==================== One Month Modified Files and Folders ========

2013-06-02 12:52 - 2013-06-02 12:52 - 00000000 ____D C:\FRST
2013-06-02 02:41 - 2010-11-22 12:21 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-06-02 02:41 - 2009-07-13 20:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-02 02:41 - 2009-07-13 20:39 - 00150788 ____A C:\Windows\setupact.log
2013-06-01 10:04 - 2010-08-24 02:32 - 01522002 ____A C:\Windows\System32\PerfStringBackup.INI
2013-05-30 14:32 - 2010-11-22 12:13 - 01492431 ____A C:\Windows\WindowsUpdate.log
2013-05-30 14:09 - 2010-11-22 12:21 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-05-30 14:07 - 2012-05-10 12:17 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-05-30 14:07 - 2009-07-13 20:34 - 00009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-05-30 14:07 - 2009-07-13 20:34 - 00009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-05-30 13:34 - 2013-05-30 13:34 - 01084734 ____A C:\Users\***\AppData\Local\2433f433
2013-05-30 13:34 - 2013-05-30 13:34 - 01084727 ____A C:\Users\***\AppData\Roaming\2433f433
2013-05-30 13:34 - 2013-05-30 13:34 - 01084703 ____A C:\ProgramData\2433f433
2013-05-30 13:34 - 2013-05-30 13:34 - 00043520 ____A (Adobe Systems Incorporated) C:\Users\***\Documents\32549e08.exe
2013-05-30 13:34 - 2013-05-30 13:34 - 00043520 ____A (Adobe Systems Incorporated) C:\Users\***\Documents\32549e08.dll
2013-05-30 09:45 - 2013-03-22 06:37 - 00000000 ___RD C:\Users\***\Dropbox
2013-05-30 09:45 - 2013-03-22 06:33 - 00000000 ____D C:\Users\***\AppData\Roaming\Dropbox
2013-05-29 11:08 - 2013-03-22 06:37 - 00001019 ____A C:\Users\***\Desktop\Dropbox.lnk
2013-05-25 06:11 - 2010-11-22 12:21 - 00002133 ____A C:\Users\Public\Desktop\Google Chrome.lnk
2013-05-20 15:54 - 2013-05-20 15:54 - 00000000 ____A C:\Windows\System32\sho9AF2.tmp
2013-05-20 14:21 - 2010-08-24 03:36 - 00000000 ____D C:\ProgramData\Adobe
2013-05-19 02:42 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache
2013-05-16 21:09 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-05-16 11:58 - 2009-07-13 20:33 - 00493296 ____A C:\Windows\System32\FNTCACHE.DAT
2013-05-16 11:55 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-05-16 08:21 - 2011-01-18 10:35 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-05-16 06:07 - 2012-05-10 12:17 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-05-16 06:07 - 2011-06-25 14:28 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-05-13 11:53 - 2011-11-05 03:23 - 00000000 ____D C:\Users\***\Documents\Eigene PaperPort-Dokumente
2013-05-07 12:52 - 2013-05-07 12:34 - 00000000 ____D C:\Users\***\Desktop\Domian
2013-05-05 11:25 - 2013-05-16 08:19 - 12324864 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-05-05 11:12 - 2013-05-16 08:19 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-05-04 03:42 - 2011-12-19 09:03 - 00000000 ____D C:\Users\***\Documents\Dichterschule

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-05-14 07:32:19
Restore point made on: 2013-05-15 21:04:20
Restore point made on: 2013-05-16 08:18:49
Restore point made on: 2013-05-21 06:25:06
Restore point made on: 2013-05-24 07:13:01
Restore point made on: 2013-05-28 06:31:28

==================== Memory info =========================== 

Percentage of memory in use: 13%
Total physical RAM: 4084.56 MB
Available physical RAM: 3547.16 MB
Total Pagefile: 4082.84 MB
Available Pagefile: 3560.01 MB
Total Virtual: 2047.88 MB
Available Virtual: 1918.99 MB

==================== Drives ================================

Drive c: (Boot) (Fixed) (Total:555.07 GB) (Free:469.71 GB) NTFS
Drive e: (Recover) (Fixed) (Total:40 GB) (Free:19.65 GB) NTFS
Drive g: () (Removable) (Total:1.9 GB) (Free:1.9 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 596 GB) (Disk ID: 2BD2C32A)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=555 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=40 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=1 GB) - (Type=12)

========================================================
Disk: 1 (Size: 2 GB) (Disk ID: D0062069)
Partition 1: (Not Active) - (Size=2 GB) - (Type=06)


Last Boot: 2013-05-24 13:09

==================== End Of Log ============================
         

Hallo,

soweit läuft wieder alles. Super!
Allerdings bekomme ich Combofix nicht deinstalliert. Inzwischen habe ich beide Varianten ausprobiert, aber irgendwie ist das Programm nicht weg und fordert mich auf, meinen Virenschutz zu deaktivieren. Was kann ich machen?

Viele Grüße
Dolomiten

Zitat:

Zitat von Dolomiten

Allerdings bekomme ich Combofix nicht deinstalliert. Inzwischen habe ich beide Varianten ausprobiert, aber irgendwie ist das Programm nicht weg und fordert mich auf, meinen Virenschutz zu deaktivieren. Was kann ich machen?

DelFix wie beschrieben ausführen, damit wird ComboFix auch entfernt.





Ich bin froh, dass wir helfen konnten

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank!

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.