GVU-Trojaner bekämpfen

cosinus · 17.06.2013, 13:56

Mach nochmal bitte einen Fix über OTLPE:

Code:

ATTFilter

:OTL
O31 - SafeBoot: AlternateShell - cmd.exe
:Files
C:\Users\Rico\AppData\Roaming\skype.ini
C:\Users\Rico\AppData\Roaming\skype.dat
C:\ProgramData\vciwbphvqrcnodj
C:\Users\Rico\AppData\Roaming\.#
C:\Users\Rico\AppData\Roaming\5012
C:\Users\Rico\AppData\Roaming\5015
C:\Users\Rico\AppData\Roaming\kock
C:\Users\Rico\AppData\Roaming\UAs
C:\Users\Rico\AppData\Roaming\xmldm
C:\ProgramData\quqvouzquchmbyv

guitarplayer · 17.06.2013, 14:17

das hier hat mir der fix ausgegeben:

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.
========== FILES ==========
File\Folder C:\Users\Rico\AppData\Roaming\skype.ini not found.
File\Folder C:\Users\Rico\AppData\Roaming\skype.dat not found.
File\Folder C:\ProgramData\vciwbphvqrcnodj not found.
File\Folder C:\Users\Rico\AppData\Roaming\.# not found.
File\Folder C:\Users\Rico\AppData\Roaming\5012 not found.
File\Folder C:\Users\Rico\AppData\Roaming\5015 not found.
File\Folder C:\Users\Rico\AppData\Roaming\kock not found.
File\Folder C:\Users\Rico\AppData\Roaming\UAs not found.
File\Folder C:\Users\Rico\AppData\Roaming\xmldm not found.
File\Folder C:\ProgramData\quqvouzquchmbyv not found.
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06182013_001020

nach versuchtem neustart im abgesicherten modus, bekomme ich wieder nur den schwarzen screen und Strg+Alt+Entf funktioniert auch nicht.

cosinus · 17.06.2013, 14:33

Vllt sehen wir was mit einem anderen Tool:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:
Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

guitarplayer · 17.06.2013, 14:59

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 16-06-2013 01
Ran by SYSTEM on 18-06-2013 00:56:04
Running from G:\
Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1037608 2008-02-22] (Synaptics, Inc.)
HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [13535776 2008-04-03] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [92704 2008-04-03] (NVIDIA Corporation)
HKLM\...\Run: [RtHDVCpl] RtHDVCpl.exe [x]
HKLM\...\Run: [PLFSetI] C:\Windows\PLFSetI.exe [200704 2007-10-23] ()
HKLM\...\Run: [ZPdtWzdVitaKey MC3000] "C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" show [3667968 2008-07-24] (Arachnoid Biometrics Identification Group Corp.)
HKLM\...\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe [793096 2008-03-31] (Dritek System Inc.)
HKLM\...\Run: [eAudio] "C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe" [544768 2008-03-06] (Acer Incorporated)
HKLM\...\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe [526896 2008-03-04] (Egis Incorporated)
HKLM\...\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe [397312 2008-04-30] (Acer Inc.)
HKLM\...\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe [303104 2008-01-28] (Acer Incorporated)
HKLM\...\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE [x]
HKLM\...\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe [591696 2008-05-07] (SEIKO EPSON CORPORATION)
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [413696 2008-09-06] (Apple Inc.)
HKLM\...\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [34040 2008-04-06] ()
HKLM\...\Run: [TkBellExe] "C:\Program Files\Real\RealPlayer\update\realsched.exe"  -osboot [296096 2012-10-05] (RealNetworks, Inc.)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345312 2013-05-06] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
Winlogon\Notify\AWinNotifyVitaKey MC3000: C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll [X]
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\n. ATTENTION! ====> ZeroAccess
HKU\Default\...\RunOnce: [AcerScrSav] C:\Windows\Acer\run_NB.exe [ 2007-08-21] ()
HKU\Default User\...\RunOnce: [AcerScrSav] C:\Windows\Acer\run_NB.exe [ 2007-08-21] ()
HKU\Mcx1\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [ 2008-01-20] (Microsoft Corporation)
HKU\Mcx1\...\RunOnce: [AcerScrSav] C:\Windows\Acer\run_NB.exe [ 2007-08-21] ()
HKU\Rico\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [ 2008-01-20] (Microsoft Corporation)
HKU\Rico\...\Run: [EPSON Stylus Photo PX700W (Netzwerk)] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIENE.EXE /FU "C:\Windows\TEMP\E_S9A46.tmp" /EF "HKCU" [x]
HKU\Rico\...\Run: [EPSON BX320FW Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIGIE.EXE /FU "C:\Windows\TEMP\E_SB9FB.tmp" /EF "HKCU" [x]
HKU\Rico\...\Run: [Spotify Web Helper] "C:\Users\Rico\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [x]
HKU\Rico\...\Run: [EPSON41B354 (Epson Stylus Office BX320FW)] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIGIE.EXE /FU "C:\Windows\TEMP\E_SBD68.tmp" /EF "HKCU" [ 2012-12-25] ()
HKU\Rico\...\Run: [Spotify] "C:\Users\Rico\AppData\Roaming\Spotify\Spotify.exe" /uri spotify:autostart [ 2013-05-13] (Spotify Ltd)
Lsa: [Notification Packages] scecli C:\Program Files\Acer\Acer Bio Protection\PwdFilter
Startup: C:\ProgramData\Start Menu\Programs\Startup\Acer VCM.lnk
ShortcutTarget: Acer VCM.lnk -> C:\Program Files\Acer\Acer VCM\AcerVCM.exe (Acer Incorporated)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
ShortcutTarget: Adobe Gamma Loader.lnk -> C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\BTTray.lnk
ShortcutTarget: BTTray.lnk -> C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Logitech Desktop Messenger.lnk
ShortcutTarget: Logitech Desktop Messenger.lnk -> C:\Program Files\Logitech Setpoint 5.0\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (No File)
Startup: C:\ProgramData\Start Menu\Programs\Startup\SetPointII.lnk
ShortcutTarget: SetPointII.lnk -> C:\Program Files\Logitech Setpoint 5.0\SetPoint II\SetpointII.exe (Logitech Inc.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk
ShortcutTarget: WISO Mein Steuer-Sparbuch heute.lnk -> C:\Program Files\WISO\Steuersoftware 2013\mshaktuell.exe ()

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86752 2013-03-27] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816 2013-03-27] (Avira Operations GmbH & Co. KG)
S2 BUNAgentSvc; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [16384 2008-03-03] (NewTech Infosystems, Inc.)
S2 EpsonBidirectionalService; C:\Program Files\Common Files\EPSON\eEBAPI\eEBSVC.exe [94208 2006-12-19] (SEIKO EPSON CORPORATION)
S2 ETService; C:\Program Files\Acer\Empowering Technology\Service\ETService.exe [24576 2008-03-21] ()
S2 ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [247608 2010-11-21] ()
S2 IGBASVC; C:\Program Files\Acer\Acer Bio Protection\BASVC.exe [3517440 2008-07-24] ()
S2 MobilityService; C:\Acer\Mobility Center\MobilityService.exe [110592 2007-12-06] ()
S2 NTISchedulerSvc; C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [131072 2008-04-03] ()
S2 PnkBstrA; C:\Windows\system32\PnkBstrA.exe [66872 2008-12-08] ()
S2 PnkBstrB; C:\Windows\system32\PnkBstrB.exe [107832 2008-12-08] ()
S2 RS_Service; C:\Program Files\Acer\Acer VCM\RS_Service.exe [233472 2008-01-10] (Acer Incorporated)
S2 serviceIEConfig; C:\Windows\System32\ieconfig_1und1_svc.exe [662416 2009-04-13] (mquadr.at softwareengineering und consulting gmbh)
S3 msiserver; %systemroot%\system32\msiexec /V [x]
S2 TuneUp.UtilitiesSvc; "C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe" [x]

==================== Drivers (Whitelisted) ====================

S3 Afc; C:\Windows\System32\drivers\Afc.sys [11776 2005-02-23] (Arcsoft, Inc.)
S3 ALESIS_USB2; C:\Windows\System32\Drivers\alesis2u.sys [355840 2007-08-16] (Ploytec GmbH)
S3 ALESIS_USB2_A; C:\Windows\System32\drivers\alesis2a.sys [32256 2007-08-16] (Numark)
S0 AlfaFF; C:\Windows\System32\Drivers\AlfaFF.sys [43184 2008-07-24] (Alfa Corporation)
S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [281760 2009-06-18] ()
S3 ATSWPDRV; C:\Windows\System32\DRIVERS\ATSwpDrv.sys [146944 2008-05-30] (AuthenTec, Inc.)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-27] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-27] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-27] (Avira Operations GmbH & Co. KG)
S2 int15; C:\Windows\system32\drivers\int15.sys [69632 2007-01-25] ()
S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [25888 2009-06-18] ()
S3 LMouFilt; C:\Windows\System32\DRIVERS\LMouFilt.Sys [36240 2007-07-17] (Logitech, Inc.)
S0 sptd; C:\Windows\System32\Drivers\sptd.sys [685816 2008-09-07] (Duplex Secure Ltd.)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-02-27] (Avira GmbH)
S3 SynasUSB; C:\Windows\System32\drivers\SynasUSB.sys [18432 2006-11-23] (SIA Syncrosoft)
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S4 Mstnkf32; No ImagePath
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-18 00:56 - 2013-06-18 00:56 - 00000000 ____D C:\FRST
2013-06-14 22:50 - 2011-07-12 18:55 - 02237440 ___RA (OldTimer Tools) C:\OTLPE.exe
2013-06-14 15:46 - 2013-06-14 15:46 - 00000000 ____D C:\_OTL
2013-06-13 13:44 - 2013-06-17 17:04 - 00033760 ____A C:\Extras.Txt
2013-06-13 11:08 - 2013-06-17 17:05 - 00110076 ____A C:\OTL.Txt
2013-06-02 10:49 - 2013-06-02 10:49 - 00000664 ____A C:\Users\Rico\Desktop\FSCapture.lnk

==================== One Month Modified Files and Folders ========

2013-06-18 00:56 - 2013-06-18 00:56 - 00000000 ____D C:\FRST
2013-06-17 17:05 - 2013-06-13 11:08 - 00110076 ____A C:\OTL.Txt
2013-06-17 17:04 - 2013-06-13 13:44 - 00033760 ____A C:\Extras.Txt
2013-06-17 12:36 - 2008-07-24 02:16 - 00000000 ____A C:\Windows\System32\LogConfigTemp.xml
2013-06-17 12:36 - 2008-05-07 10:04 - 00000147 ____A C:\Windows\System32\agent.log
2013-06-14 15:46 - 2013-06-14 15:46 - 00000000 ____D C:\_OTL
2013-06-13 11:03 - 2013-03-27 02:43 - 00000000 ____D C:\users\Administrator
2013-06-13 11:03 - 2012-01-01 08:40 - 00000000 ____D C:\users\Mcx1
2013-06-13 11:03 - 2008-08-28 06:37 - 00000000 ____D C:\users\Rico
2013-06-13 02:00 - 2008-01-20 18:47 - 06773340 ____A C:\Windows\PFRO.log
2013-06-12 15:40 - 2008-07-24 01:56 - 01361581 ____A C:\Windows\WindowsUpdate.log
2013-06-12 15:33 - 2008-07-24 02:01 - 00245436 ____A C:\ProgramData\nvModes.dat
2013-06-12 15:33 - 2008-07-24 02:01 - 00245436 ____A C:\ProgramData\nvModes.001
2013-06-12 15:33 - 2008-07-24 02:01 - 00245436 ____A C:\ProgramData\Application Data\nvModes.dat
2013-06-12 15:33 - 2008-07-24 02:01 - 00245436 ____A C:\ProgramData\Application Data\nvModes.001
2013-06-12 15:31 - 2012-10-07 04:42 - 00000000 ____D C:\Users\Rico\AppData\Local\Spotify
2013-06-12 15:31 - 2012-10-07 04:40 - 00000000 ____D C:\Users\Rico\AppData\Roaming\Spotify
2013-06-12 14:52 - 2012-04-10 05:58 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-06-12 14:51 - 2006-11-02 04:47 - 00003216 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-12 14:51 - 2006-11-02 04:47 - 00003216 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-12 11:15 - 2008-09-07 05:00 - 00002513 ____A C:\Users\Rico\Desktop\Excel 2003.lnk
2013-06-12 06:41 - 2006-11-02 02:33 - 01445310 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-12 01:36 - 2006-11-02 05:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-11 16:57 - 2008-07-24 02:03 - 00000012 ____A C:\Windows\bthservsdp.dat
2013-06-11 16:57 - 2006-11-02 05:01 - 00032558 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-06-11 12:52 - 2012-04-10 05:58 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-11 12:52 - 2011-06-21 01:54 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-11 05:49 - 2008-09-07 05:01 - 00002481 ____A C:\Users\Rico\Desktop\Word 2003.lnk
2013-06-10 13:27 - 2008-08-28 08:15 - 00000000 ____D C:\Users\Rico\Documents\Bluetooth-Exchange-Ordner
2013-06-02 10:49 - 2013-06-02 10:49 - 00000664 ____A C:\Users\Rico\Desktop\FSCapture.lnk
2013-05-30 09:57 - 2006-11-02 04:52 - 00176429 ____A C:\Windows\setupact.log
2013-05-28 11:20 - 2010-10-18 04:13 - 00000000 ____D C:\Program Files\ElsterFormular
2013-05-26 11:06 - 2008-08-28 11:51 - 00172544 ____A C:\Users\Rico\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\@
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\L
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\@
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\L
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-3820418087-2374231721-3807486426-1000\$cced714b348e29baf6a11cacf2a4ea0f
C:\$Recycle.Bin\S-1-5-21-3820418087-2374231721-3807486426-1000\$cced714b348e29baf6a11cacf2a4ea0f\@
C:\$Recycle.Bin\S-1-5-21-3820418087-2374231721-3807486426-1000\$cced714b348e29baf6a11cacf2a4ea0f\L
C:\$Recycle.Bin\S-1-5-21-3820418087-2374231721-3807486426-1000\$cced714b348e29baf6a11cacf2a4ea0f\U

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\@
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\L
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U

Files to move or delete:
====================
C:\ProgramData\nvModes.dat

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-05-26 06:59:28
Restore point made on: 2013-05-27 06:39:42
Restore point made on: 2013-05-31 06:33:39
Restore point made on: 2013-06-01 16:52:48
Restore point made on: 2013-06-02 07:49:39
Restore point made on: 2013-06-03 05:03:13
Restore point made on: 2013-06-05 07:40:10
Restore point made on: 2013-06-06 04:09:26
Restore point made on: 2013-06-10 07:14:11
Restore point made on: 2013-06-10 08:01:51
Restore point made on: 2013-06-12 09:54:22
Restore point made on: 2013-06-12 15:33:00
Restore point made on: 2013-06-12 15:40:21

==================== Memory info =========================== 

Percentage of memory in use: 12%
Total physical RAM: 4089.95 MB
Available physical RAM: 3560.52 MB
Total Pagefile: 3777.97 MB
Available Pagefile: 3623.83 MB
Total Virtual: 2047.88 MB
Available Virtual: 1963.02 MB

==================== Drives ================================

Drive c: (ACER) (Fixed) (Total:142.65 GB) (Free:25.74 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATA) (Fixed) (Total:142.67 GB) (Free:110.03 GB) NTFS
Drive f: (PQSERVICE) (Fixed) (Total:9.76 GB) (Free:0.71 GB) FAT32
Drive g: () (Removable) (Total:7.6 GB) (Free:7.6 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 298 GB) (Disk ID: 13124F9D)
Partition 1: (Not Active) - (Size=10 GB) - (Type=27)
Partition 2: (Active) - (Size=143 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=143 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=3 GB) - (Type=12)

========================================================
Disk: 1 (Size: 8 GB) (Disk ID: 00BA3724)
Partition 1: (Active) - (Size=8 GB) - (Type=0B)


LastRegBack: 2013-06-12 13:50

==================== End Of Log ============================

--- --- ---

cosinus · 17.06.2013, 15:02

Ganz schlechte Nachrichten:

Zitat:

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\@
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\L
C:\$Recycle.Bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U

Dein System startet nicht nur, es ist auch mit einem fiesen Rookit infiziert; ich empfehle dir eine Neuinstallation

Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?

Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, da sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.

guitarplayer · 17.06.2013, 15:02

bin jetzt erstmal unterwegs, heut abend bin ich wieder am rechner.
nur das du bescheid weißt.

danke dir für deine mühen bis jetzt

hmm, klingt ja gar nicht gut

Wäre es denn wenigstens möglich, meine daten von den ordnern zuretten (c:/user/rico..)
bevor eine Neuinstallation ansteht? wäre mir sehr wichtig.

[bis auf statistische finanztabellen, habe ich keine kontodaten bzw. online-banking auf dem laptop gemacht]

Und wie schaut das mit meinem Datenschutz aus? Sind meine Passwörter auch 'offen' irgendwo im System sichtbar?

[18.06.2013 - 15:01Uhr]

Hallo,

ich konnte jetzt mit Hilfe meines Bruders (dipl. Informatiker) meine Daten über
das Betriebssytem 'ubuntu', was ich von cd aus gebootet habe, noch retten.

Ich werde Windows-Vista demnächst neu installieren.
Gibt es noch wichtige Hinweise nach dem neu aufsetzen des Betriebssystems, bezüglich der Vorsorge und Sicherheit, die ihr mir mit auf den Weg geben könnt?

GVU-Trojaner bekämpfen

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner bekämpfen