|
Plagegeister aller Art und deren Bekämpfung: Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.07.2013, 19:23 | #1 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Hallo Trojaner-Boardler, ich habe mir vorige Woche den GVU-Trojaner eingefangen. Avira hat das auch sofort gemeldet. Kurzzeitig war der Rechner zwar blockiert, ich konnte aber mit der "Desinfec´t" CD und den enthaltenen Programmen von Avira, Bit-defender und Kaspersky im abgesicherten Modus den Rechner wieder freibekommen. Ich habe dann nochmal alle Programme wie meine installierte Avira-Software oder Malewarebytes drüberlaufen lassen und auch etliche Einträge gefunden und jeweils gelöscht bzw in Quarantäne verschoben. Der Rechner fährt auch wieder normal hoch, es kommen aber immer wieder Meldungen beim Ausführen oder Updateversuchen von Programmen wie "ShellExecuteEx schlug fehl; Code 126. Das angegebene Modul wurde nicht gefunden." oder "Fehler beim Laden von C:\PROGRA 2\cobzdco.dat. Das angegebene Modul wurde nicht gefunden". Da ich mittlerweile das Programm "Malewarebytes" versehentlich gelöscht habe, kann ich es jetzt nicht mehr ausführen. Ich kann das Programm zwar herunterladen, aber es kommt die Meldung, dass die -exe Datei zur Ausführung nicht gefunden wird. So ist es bei allen Programmen, die ich herunterladen wollte. Deswegen kann ich z. B. auch die von Euch angegebenen Programme wie Defogger oder OTL nicht starten. Sind befinden sich zwar auf dem Desktop, werden aber nicht ausgeführt. Ich muss allerdings erwähnen, dass ich bei diesen Problemen ein totaler Laie bin und mir beim Durchlesen Euerer Bearbeitungen der einzelnen Problemfälle schon schwindlig geworden ist. Aber nach Befragung von vielen Bekannten und sogenannten "Experten" weiss ich keine andere Möglichkeit und wende mich jetzt an Euch mit der Hoffnung hier Hilfe zu bekommen. Sieht alles recht professionell an und ich bin der Meinung, Ihr wißt, war Ihr tut. Bestimmt kann mir jemand helfen. Grüße aus Bayern Hallo, hab ich noch vergessen: System: Windows Vista Home Premium 32 Bit Arbeitsspeicher 2 GB Intel Core 2 CPU 1,8 GHz Auch die Systemwiederherstellung funktioniert nicht mehr. Auch hier kommt eine Fehlermeldung. |
02.07.2013, 19:44 | #2 |
/// TB-Ausbilder | Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema. Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst: Bitte lesen: Regeln für die Bereinigung
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
__________________ |
02.07.2013, 23:56 | #3 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. FRST Logfile:
__________________FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 02-07-2013 Ran by SYSTEM on 03-07-2013 00:40:41 Running from F:\ Windows Vista (TM) Home Premium (X86) OS Language: German Standard Internet Explorer Version 8 Boot Mode: Recovery The current controlset is ControlSet004 ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log. ==================== Registry (Whitelisted) ================== HKLM\...\Run: [RtHDVCpl] RtHDVCpl.exe [x] HKLM\...\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide [1008184 2008-01-19] (Microsoft Corporation) HKLM\...\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe [16896 2007-02-09] ( ) HKLM\...\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe [1904640 2009-05-07] (AVM Berlin) HKLM\...\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" [37888 2009-07-01] () HKLM\...\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart [86016 2007-06-16] (NVIDIA Corporation) HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [8466432 2007-06-16] (NVIDIA Corporation) HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [81920 2007-06-16] (NVIDIA Corporation) HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [40368 2011-05-27] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [937920 2011-03-29] (Adobe Systems Incorporated) HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345144 2013-07-01] (Avira Operations GmbH & Co. KG) HKU\Werner Herz\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [ 2008-01-19] (Microsoft Corporation) HKU\Werner Herz\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [x] HKU\Werner Herz\...\Run: [Google Update] "C:\Users\Werner Herz\AppData\Local\Google\Update\GoogleUpdate.exe" /c [ 2012-02-03] (Google Inc.) HKU\Werner Herz\...\Run: [] [x] Startup: C:\ProgramData\Start Menu\Programs\Startup\Microsoft Office.lnk ShortcutTarget: Microsoft Office.lnk -> C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) ========================== Services (Whitelisted) ================= S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG) S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG) S2 AntUpdaterService; C:\Program Files\Ant.com\IE add-on\AntUpdaterService.exe [520216 2011-06-29] (Ant.com) S2 AVM WLAN Connection Service; C:\Program Files\avmwlanstick\WlanNetService.exe [368640 2009-05-07] (AVM Berlin) S3 FirebirdServerMAGIXInstance; C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [1527900 2005-11-17] (MAGIX®) S2 gupdate1c9aa2ea0d29a80; C:\Program Files\Google\Update\GoogleUpdate.exe [133104 2009-03-21] (Google Inc.) S2 RichVideo; C:\Program Files\CyberLink\Shared Files\RichVideo.exe [272024 2006-12-19] () S2 srvcPVR; C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [1600000 2007-05-11] (Buhl Data Service GmbH) S2 x10nets; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [20480 2001-11-12] (X10) S3 Appinfo; %SystemRoot%\System32\appinfo.dll [x] ==================== Drivers (Whitelisted) ==================== S3 3xHybrid; C:\Windows\System32\DRIVERS\3xHybrid.sys [1136600 2007-01-08] (Philips Semiconductors GmbH) S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-29] (Avira Operations GmbH & Co. KG) S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-29] (Avira Operations GmbH & Co. KG) S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-29] (Avira Operations GmbH & Co. KG) S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2009-05-07] (AVM Berlin) S3 FET5X86V; C:\Windows\System32\DRIVERS\fetnd5bv.sys [42496 2007-04-17] (VIA Technologies, Inc. ) S3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [45568 2006-11-02] (VIA Technologies, Inc. ) S3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2009-05-07] (AVM GmbH) S3 Ph3xIB32; C:\Windows\System32\DRIVERS\Ph3xIB32.sys [1131136 2007-04-03] (Philips Semiconductors GmbH) S3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-09-09] (RapidSolution Software AG) S3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-09-09] (RapidSolution Software AG) S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH) S3 tbhsd; C:\Windows\System32\drivers\tbhsd.sys [37920 2009-11-16] (RapidSolution Software AG) S0 ViBus; C:\Windows\System32\DRIVERS\ViBus.sys [16896 2007-03-26] (VIA Technologies, Inc.) S0 ViPrt; C:\Windows\System32\DRIVERS\ViPrt.sys [52224 2007-03-26] (VIA Technologies, Inc.) S3 X10Hid; C:\Windows\System32\Drivers\x10hid.sys [13976 2006-11-17] (X10 Wireless Technology, Inc.) S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x] S3 IpInIp; system32\DRIVERS\ipinip.sys [x] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x] S0 videX32; system32\DRIVERS\videX32.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-07-03 00:40 - 2013-07-03 00:40 - 00000000 ____D C:\FRST 2013-07-02 22:53 - 2013-07-02 22:53 - 00000796 ____A C:\Windows\setupact.log 2013-07-02 22:53 - 2013-07-02 22:53 - 00000000 ____A C:\Windows\setuperr.log 2013-07-02 18:40 - 2013-07-02 18:40 - 00602112 ____A (OldTimer Tools) C:\Users\Werner Herz\Desktop\OTL.exe 2013-07-02 18:35 - 2013-07-02 18:36 - 00050477 ____A C:\Users\Werner Herz\Desktop\Defogger.exe 2013-06-29 22:51 - 2013-06-30 03:32 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0 2013-06-29 20:39 - 2013-06-29 20:39 - 299798528 ____A C:\Users\Werner Herz\Downloads\kav_rescue_10.iso 2013-06-29 20:29 - 2013-06-29 20:30 - 189865720 ____A (Max Secure Software ) C:\Users\Werner Herz\Desktop\MaxSpywaredetector.exe 2013-06-29 20:24 - 2013-06-29 20:24 - 00000000 ____D C:\Users\Werner Herz\AppData\Local\Max Secure Software 2013-06-29 20:23 - 2013-06-29 20:24 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\GetRightToGo 2013-06-29 19:11 - 2013-06-29 19:11 - 04378864 ____A (Piriform Ltd) C:\Users\Werner Herz\Desktop\ccsetup402.exe 2013-06-29 19:02 - 2013-06-23 14:59 - 95023320 ___AT C:\ProgramData\ocdzboc.dat 2013-06-29 17:18 - 2013-06-30 15:53 - 10285040 ____A (Malwarebytes Corporation ) C:\Users\Werner Herz\Downloads\mbam-setup-1.75.0.1300.exe 2013-06-29 11:35 - 2013-06-29 11:35 - 00005434 ____A C:\Users\Werner Herz\Documents\cc_20130629_123507.reg 2013-06-29 11:02 - 2013-06-29 11:32 - 00000000 ____D C:\ProgramData\SpeedMaxPc 2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\SpeedMaxPc 2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\DriverCure 2013-06-28 13:35 - 2013-06-28 13:35 - 00004514 ____A C:\Users\Werner Herz\Documents\cc_20130628_143520.reg 2013-06-27 17:06 - 2013-06-27 17:06 - 00000206 ____A C:\Users\Werner Herz\Documents\cc_20130627_180612.reg 2013-06-27 17:00 - 2013-06-27 17:00 - 00003306 ____A C:\Users\Werner Herz\Documents\cc_20130627_180014.reg 2013-06-27 16:45 - 2013-06-28 12:31 - 00000057 ____A C:\Users\Werner Herz\AppData\Roaming\mbam.context.scan 2013-06-27 16:37 - 2013-06-27 16:37 - 00000123 ____A C:\Users\Public\sdelevURL.tmp 2013-06-27 00:03 - 2013-06-27 00:03 - 00001708 ____A C:\Users\Werner Herz\Documents\cc_20130627_010344.reg 2013-06-26 21:04 - 2013-06-26 21:05 - 00000004 ____A C:\Users\Werner Herz\AppData\Roaming\skype.ini 2013-06-25 17:11 - 2013-06-25 17:11 - 00030290 ____A C:\Users\Werner Herz\Documents\duplicate.txt 2013-06-25 17:00 - 2013-06-25 17:00 - 00012076 ____A C:\Users\Werner Herz\Documents\cc_20130625_180045.reg 2013-06-23 08:40 - 2013-06-23 14:59 - 95023320 ___AT C:\ProgramData\ocdzboc.pad 2013-06-23 08:40 - 2013-06-23 14:58 - 00000000 ____A C:\ProgramData\as98213.txt 2013-06-12 19:04 - 2013-05-17 04:50 - 01212928 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2013-06-12 19:04 - 2013-05-17 04:50 - 00916480 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2013-06-12 19:04 - 2013-05-17 04:50 - 00105984 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2013-06-12 19:04 - 2013-05-17 04:48 - 00206848 ____A (Microsoft Corporation) C:\Windows\System32\occache.dll 2013-06-12 19:04 - 2013-05-17 04:46 - 06014464 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2013-06-12 19:04 - 2013-05-17 04:46 - 00611840 ____A (Microsoft Corporation) C:\Windows\System32\mstime.dll 2013-06-12 19:04 - 2013-05-17 04:46 - 00067072 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2013-06-12 19:04 - 2013-05-17 04:45 - 00630272 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll 2013-06-12 19:04 - 2013-05-17 04:45 - 00055296 ____A (Microsoft Corporation) C:\Windows\System32\msfeedsbs.dll 2013-06-12 19:04 - 2013-05-17 04:45 - 00043520 ____A (Microsoft Corporation) C:\Windows\System32\licmgr10.dll 2013-06-12 19:04 - 2013-05-17 04:45 - 00025600 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 11111424 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 02004992 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 01469440 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl 2013-06-12 19:04 - 2013-05-17 04:44 - 00387584 ____A (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\iepeers.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll 2013-06-12 19:04 - 2013-05-17 04:44 - 00055808 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll 2013-06-12 19:04 - 2013-05-17 03:06 - 00385024 ____A (Microsoft Corporation) C:\Windows\System32\html.iec 2013-06-12 19:04 - 2013-05-17 01:20 - 00133632 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe 2013-06-12 19:04 - 2013-05-17 01:19 - 00174080 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe 2013-06-12 19:04 - 2013-05-17 01:18 - 01638912 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2013-06-12 19:04 - 2013-05-17 01:18 - 00013312 ____A (Microsoft Corporation) C:\Windows\System32\msfeedssync.exe 2013-06-12 19:04 - 2013-05-08 05:37 - 00905576 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys 2013-06-12 19:04 - 2013-05-02 23:03 - 03603832 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe 2013-06-12 19:04 - 2013-05-02 23:03 - 03551096 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe 2013-06-12 19:04 - 2013-05-02 05:04 - 00443904 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll 2013-06-12 19:04 - 2013-05-02 05:03 - 00037376 ____A (Microsoft Corporation) C:\Windows\System32\printcom.dll 2013-06-12 19:04 - 2013-04-24 05:00 - 00985600 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll 2013-06-12 19:04 - 2013-04-24 05:00 - 00133120 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll 2013-06-12 19:04 - 2013-04-24 05:00 - 00098304 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll 2013-06-12 19:04 - 2013-04-24 05:00 - 00041984 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll 2013-06-12 19:04 - 2013-04-24 02:46 - 00812544 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe 2013-06-12 19:04 - 2013-04-17 13:30 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll 2013-06-03 19:47 - 2013-06-03 19:50 - 00000022 ____A C:\Users\Werner Herz\Downloads\SciLorsGrooveUnlockerBv0.3.3.zip 2013-06-03 19:43 - 2013-06-03 19:43 - 05375512 ____A C:\Users\Werner Herz\Downloads\Nicht bestätigt 937597.crdownload ==================== One Month Modified Files and Folders ======== 2013-07-03 00:40 - 2013-07-03 00:40 - 00000000 ____D C:\FRST 2013-07-02 23:09 - 2012-06-27 15:57 - 01820553 ____A C:\Windows\WindowsUpdate.log 2013-07-02 23:09 - 2006-11-02 14:01 - 00032530 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2013-07-02 23:09 - 2006-11-02 14:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2013-07-02 23:09 - 2006-11-02 13:47 - 00003296 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 2013-07-02 23:09 - 2006-11-02 13:47 - 00003296 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 2013-07-02 23:05 - 2007-07-20 16:40 - 00000430 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{E7E3DCEC-8A47-46EB-B227-FBA51D1E7BA1}.job 2013-07-02 22:55 - 2006-11-02 11:33 - 01589274 ____A C:\Windows\System32\PerfStringBackup.INI 2013-07-02 22:53 - 2013-07-02 22:53 - 00000796 ____A C:\Windows\setupact.log 2013-07-02 22:53 - 2013-07-02 22:53 - 00000000 ____A C:\Windows\setuperr.log 2013-07-02 22:46 - 2009-07-02 17:03 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2013-07-02 22:11 - 2012-02-10 20:40 - 00001144 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003UA.job 2013-07-02 21:11 - 2012-02-10 20:40 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003Core.job 2013-07-02 18:40 - 2013-07-02 18:40 - 00602112 ____A (OldTimer Tools) C:\Users\Werner Herz\Desktop\OTL.exe 2013-07-02 18:36 - 2013-07-02 18:35 - 00050477 ____A C:\Users\Werner Herz\Desktop\Defogger.exe 2013-07-02 16:46 - 2009-07-02 17:03 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2013-06-30 15:53 - 2013-06-29 17:18 - 10285040 ____A (Malwarebytes Corporation ) C:\Users\Werner Herz\Downloads\mbam-setup-1.75.0.1300.exe 2013-06-30 03:32 - 2013-06-29 22:51 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0 2013-06-29 20:39 - 2013-06-29 20:39 - 299798528 ____A C:\Users\Werner Herz\Downloads\kav_rescue_10.iso 2013-06-29 20:30 - 2013-06-29 20:29 - 189865720 ____A (Max Secure Software ) C:\Users\Werner Herz\Desktop\MaxSpywaredetector.exe 2013-06-29 20:24 - 2013-06-29 20:24 - 00000000 ____D C:\Users\Werner Herz\AppData\Local\Max Secure Software 2013-06-29 20:24 - 2013-06-29 20:23 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\GetRightToGo 2013-06-29 19:11 - 2013-06-29 19:11 - 04378864 ____A (Piriform Ltd) C:\Users\Werner Herz\Desktop\ccsetup402.exe 2013-06-29 11:35 - 2013-06-29 11:35 - 00005434 ____A C:\Users\Werner Herz\Documents\cc_20130629_123507.reg 2013-06-29 11:32 - 2013-06-29 11:02 - 00000000 ____D C:\ProgramData\SpeedMaxPc 2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\SpeedMaxPc 2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\DriverCure 2013-06-29 10:12 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\Microsoft.NET 2013-06-28 13:35 - 2013-06-28 13:35 - 00004514 ____A C:\Users\Werner Herz\Documents\cc_20130628_143520.reg 2013-06-28 13:29 - 2007-07-20 16:59 - 00216576 ____A C:\Users\Werner Herz\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2013-06-28 12:31 - 2013-06-27 16:45 - 00000057 ____A C:\Users\Werner Herz\AppData\Roaming\mbam.context.scan 2013-06-27 22:30 - 2008-02-10 20:58 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Winamp 2013-06-27 17:06 - 2013-06-27 17:06 - 00000206 ____A C:\Users\Werner Herz\Documents\cc_20130627_180612.reg 2013-06-27 17:00 - 2013-06-27 17:00 - 00003306 ____A C:\Users\Werner Herz\Documents\cc_20130627_180014.reg 2013-06-27 16:38 - 2006-11-02 12:18 - 00000000 ___RD C:\users\Public 2013-06-27 16:37 - 2013-06-27 16:37 - 00000123 ____A C:\Users\Public\sdelevURL.tmp 2013-06-27 00:03 - 2013-06-27 00:03 - 00001708 ____A C:\Users\Werner Herz\Documents\cc_20130627_010344.reg 2013-06-26 21:05 - 2013-06-26 21:04 - 00000004 ____A C:\Users\Werner Herz\AppData\Roaming\skype.ini 2013-06-25 17:11 - 2013-06-25 17:11 - 00030290 ____A C:\Users\Werner Herz\Documents\duplicate.txt 2013-06-25 17:00 - 2013-06-25 17:00 - 00012076 ____A C:\Users\Werner Herz\Documents\cc_20130625_180045.reg 2013-06-25 16:46 - 2011-10-08 11:15 - 00000808 ____A C:\Users\Public\Desktop\CCleaner.lnk 2013-06-25 16:46 - 2010-06-08 20:41 - 00000000 ____D C:\Program Files\CCleaner 2013-06-25 16:43 - 2007-07-20 13:53 - 00000000 ____D C:\Users\Werner Herz\AppData\Local\Google 2013-06-23 22:56 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\Cursors 2013-06-23 15:15 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Yqninu 2013-06-23 14:59 - 2013-06-29 19:02 - 95023320 ___AT C:\ProgramData\ocdzboc.dat 2013-06-23 14:59 - 2013-06-23 08:40 - 95023320 ___AT C:\ProgramData\ocdzboc.pad 2013-06-23 14:58 - 2013-06-23 08:40 - 00000000 ____A C:\ProgramData\as98213.txt 2013-06-23 13:03 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Aksio 2013-06-23 13:03 - 2006-11-02 13:47 - 00353320 ____A C:\Windows\System32\FNTCACHE.DAT 2013-06-20 22:16 - 2012-02-10 20:41 - 00002119 ____A C:\Users\Werner Herz\Desktop\Google Chrome.lnk 2013-06-13 02:44 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\rescache 2013-06-13 02:26 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\System32\de-DE 2013-06-13 02:02 - 2006-11-02 11:24 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe 2013-06-03 19:50 - 2013-06-03 19:47 - 00000022 ____A C:\Users\Werner Herz\Downloads\SciLorsGrooveUnlockerBv0.3.3.zip 2013-06-03 19:43 - 2013-06-03 19:43 - 05375512 ____A C:\Users\Werner Herz\Downloads\Nicht bestätigt 937597.crdownload Files to move or delete: ==================== C:\Users\Werner Herz\AppData\Roaming\skype.ini C:\ProgramData\ocdzboc.dat C:\ProgramData\ocdzboc.pad ==================== Known DLLs (Whitelisted) ============ ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ==================== Restore Points ========================= Restore point made on: 2013-06-18 19:33:01 Restore point made on: 2013-06-20 18:22:17 Restore point made on: 2013-06-20 18:37:06 Restore point made on: 2013-06-20 18:56:06 Restore point made on: 2013-06-21 15:00:51 Restore point made on: 2013-06-23 09:31:52 Restore point made on: 2013-06-23 23:38:46 Restore point made on: 2013-06-25 16:47:59 Restore point made on: 2013-06-26 22:27:29 Restore point made on: 2013-06-26 23:36:04 Restore point made on: 2013-06-27 18:10:53 Restore point made on: 2013-06-27 20:16:34 Restore point made on: 2013-06-27 21:29:54 Restore point made on: 2013-06-28 12:54:37 Restore point made on: 2013-06-28 19:11:42 Restore point made on: 2013-06-28 19:57:28 Restore point made on: 2013-06-29 10:30:29 Restore point made on: 2013-06-29 11:38:54 Restore point made on: 2013-06-29 12:57:38 Restore point made on: 2013-07-02 02:45:47 Restore point made on: 2013-07-02 04:12:44 Restore point made on: 2013-07-02 17:14:14 Restore point made on: 2013-07-02 17:34:16 Restore point made on: 2013-07-02 18:35:42 Restore point made on: 2013-07-02 20:06:58 Restore point made on: 2013-07-02 20:57:49 ==================== Memory info =========================== Percentage of memory in use: 19% Total physical RAM: 2045.88 MB Available physical RAM: 1641.98 MB Total Pagefile: 1861.66 MB Available Pagefile: 1710.37 MB Total Virtual: 2047.88 MB Available Virtual: 1972.5 MB ==================== Drives ================================ Drive c: (BOOT) (Fixed) (Total:278.09 GB) (Free:155.24 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (RECOVER) (Fixed) (Total:19.99 GB) (Free:12.06 GB) FAT32 Drive e: (MEDHOPRDEU) (CDROM) (Total:2.69 GB) (Free:0 GB) CDFS Drive f: (USB DISK) (Removable) (Total:14.91 GB) (Free:14.9 GB) FAT32 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 298 GB) (Disk ID: 2EEB02B9) Partition 1: (Active) - (Size=278 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=20 GB) - (Type=OF Extended) ======================================================== Disk: 1 (MBR Code: Windows XP) (Size: 15 GB) (Disk ID: C3072E18) Partition 1: (Not Active) - (Size=15 GB) - (Type=0C) LastRegBack: 2013-07-02 16:52 ==================== End Of Log ============================ --- --- --- --- --- --- Ich hoffe, alles richtig gemacht zu haben. Grüße aus Bayern |
03.07.2013, 17:28 | #4 |
/// TB-Ausbilder | Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Ja, bis auf den Mist, den du dir so heruntergeladen hast. Aber alles der reihe nach... Fix mit FRST Wenn das geklappt hat gehts weiter.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
03.07.2013, 18:22 | #5 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Hallo ryder, danke für die schnelle Bearbeitung. Hier kommt die Fixlog Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 02-07-2013 Ran by SYSTEM at 2013-07-03 19:00:26 Run:1 Running from F:\ Boot Mode: Recovery ============================================== Appinfo => Service deleted successfully. AntUpdaterService => Service deleted successfully. C:\Users\Werner Herz\AppData\Roaming\skype.ini => Moved successfully. C:\ProgramData\ocdzboc.dat => Moved successfully. C:\ProgramData\ocdzboc.pad => Moved successfully. C:\Users\Werner Herz\AppData\Roaming\Aksio => Moved successfully. C:\Users\Werner Herz\AppData\Roaming\Yqninu => Moved successfully. ==== End of Fixlog ==== Hallo ryder, ich hoffe, so paßt´s. Bin in solchen Sachen relativ ungeschickt, da ich sowas zum ersten Mal mache wie Thread usw. Werner |
03.07.2013, 18:52 | #6 |
/// TB-Ausbilder | Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Sieht fein aus. Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Boote jetzt normal. Schritt 2: Deinstallation von Programmen
Schritt 3: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte AdwCleaner auf deinen Desktop.
Schritt 4: AdwCleaner wiederholen Die vorliegende Version der Werbeprogramme ist ziemlich hartnäckig und kann von AdwCleaner erfahrungsgemäss nur bei zweimaliger Anwendung entfernt werden. Also wiederhole diesen Schritt bitte und poste auch das Logfile. Schritt 5: Scan mit Combofix
__________________ --> Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. |
04.07.2013, 17:06 | #7 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Hallo, zu Punkt 1: Ich kann im Normalmodus keine Programme deinstallieren. Entweder es kommt eine Meldung wie "Bei der Deinstallation von.....ist ein Fehler aufgetreten. Möglicherweise wurde es bereits deinstalliert. Möchten Sie ..... aus der Liste Programme und Funktionen entfernen?" oder es kommt bei anderen Programmen nach Klick auf "Deinstallieren" das Fenster Windows Installer: "Der Systemadministrator hat Richtlinien erlassen um diese Installation zu verhindern." "Sie verfügen nicht über ausreichende Berechtigungen, um ...... zu entfernen. Wenden Sie sich an den Systemadministrator." Ich habe jetzt noch keine weiteren Punkte abgearbeitet. Was kann ich da machen? |
04.07.2013, 17:42 | #8 |
/// TB-Ausbilder | Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Dann machen wir mal weiter
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
04.07.2013, 18:29 | #9 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Ok, probier´ mas, was soll ich als nächstes machen? |
04.07.2013, 19:34 | #10 |
/// TB-Ausbilder | Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Die nächsten Schritte?
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
04.07.2013, 20:02 | #11 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Also, ich hab jetzt wie in Schritt 3 adwcleaner auf den Desktop geladen und alle Programme geschlossen. Jetzt kommt nach Doppelklick in einem Fenster die Meldung: "C:\Users\Werner Herz\Desktop\adwcleaner.exe Der angegebene Dienst ist kein installierter Dienst" |
04.07.2013, 20:30 | #12 |
/// TB-Ausbilder | Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Verrückt. Wir müssen mal sehen was da überhaupt los ist. Boote bitte in den abgesicherten Modus und lasse dort Combofix laufen. So funktioniert es - Windows XP, Vista und 7: Abgesicherter Modus zur Bereinigung Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind: Abgesicherter ModusWähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter. So funktioniert es - Windows 8: Alternative Anleitung Scan mit Combofix
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
05.07.2013, 00:35 | #13 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. So, ich hab´s glaub ich geschafft. Habe combofix auf den Desktop gespeichert. Der Avira hat sich im normalen Modus nicht ausschalten lassen - keinen Zugriff. Im abgesicherten Modus war er dann deaktiviert. Nach dem Starten von Combofix kam dann schon die Meldung, dass Avira noch aktiv ist. Hab ich dann wie Du schon erwähnt hast ignoriert und hiermit mitgeteilt. Die erstellte Datei war dann im normalen Modus nicht zu finden. Habe sie dann im abgesicherten Modus auf den Stick kopiert und hier ist sie nun: Code:
ATTFilter ComboFix 13-07-04.01 - Werner Herz 05.07.2013 0:29.1.2 - x86 NETWORK Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2046.1568 [GMT 2:00] ausgeführt von:: c:\users\Werner Herz\Desktop\ComboFix.exe AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\60a7806a-0eea-424c-a464-20f4730cd631 c:\users\Public\sdelevURL.tmp c:\users\Werner Herz\AppData\Roaming\AcroIEHelpe.txt c:\users\Werner Herz\AppData\Roaming\Emso c:\users\Werner Herz\AppData\Roaming\Emso\ybeqp.tmp c:\users\Werner Herz\AppData\Roaming\Emso\ybeqp.uri c:\users\Werner Herz\AppData\Roaming\srvblck2.tmp c:\users\Werner Herz\AppData\Roaming\Uhpyf c:\users\Werner Herz\AppData\Roaming\Uhpyf\oqso.ity c:\windows\system32\appinfo.dll.VIRUS . . ((((((((((((((((((((((( Dateien erstellt von 2013-06-04 bis 2013-07-04 )))))))))))))))))))))))))))))) . . 2013-07-04 22:37 . 2013-07-04 22:38 -------- d-----w- c:\users\Werner Herz\AppData\Local\temp 2013-07-04 22:37 . 2013-07-04 22:37 -------- d-----w- c:\users\Default\AppData\Local\temp 2013-07-02 23:40 . 2013-07-02 23:40 -------- d-----w- C:\FRST 2013-07-02 19:58 . 2013-06-12 04:18 7068072 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{966639E1-B22F-47C9-9860-8B9D7BCF772F}\mpengine.dll 2013-06-29 21:51 . 2013-06-30 02:32 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0 2013-06-29 19:24 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Local\Max Secure Software 2013-06-29 19:23 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\GetRightToGo 2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\SpeedMaxPc 2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\DriverCure 2013-06-29 10:02 . 2013-06-29 10:32 -------- d-----w- c:\programdata\SpeedMaxPc . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-05-02 00:06 . 2009-10-02 16:33 238872 ------w- c:\windows\system32\MpSigStub.exe 2013-04-15 16:25 . 2012-04-03 18:55 691592 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2013-04-15 16:25 . 2011-06-02 10:18 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2013-04-15 14:20 . 2013-05-14 18:48 638328 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys 2013-04-13 10:56 . 2013-05-14 18:48 37376 ----a-w- c:\windows\system32\cdd.dll 2013-04-09 01:36 . 2013-05-14 18:48 2049024 ----a-w- c:\windows\system32\win32k.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{b80f591e-fe9a-46cf-a13e-180377240586}"= "c:\program files\Elf_1.13\prxtbElf_.dll" [2011-01-03 175400] . [HKEY_CLASSES_ROOT\clsid\{b80f591e-fe9a-46cf-a13e-180377240586}] . [HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{b80f591e-fe9a-46cf-a13e-180377240586}] 2011-01-03 09:16 175400 ----a-w- c:\program files\Elf_1.13\prxtbElf_.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{b80f591e-fe9a-46cf-a13e-180377240586}"= "c:\program files\Elf_1.13\prxtbElf_.dll" [2011-01-03 175400] . [HKEY_CLASSES_ROOT\clsid\{b80f591e-fe9a-46cf-a13e-180377240586}] . [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{B80F591E-FE9A-46CF-A13E-180377240586}"= "c:\program files\Elf_1.13\prxtbElf_.dll" [2011-01-03 175400] . [HKEY_CLASSES_ROOT\clsid\{b80f591e-fe9a-46cf-a13e-180377240586}] . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-18 39408] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736] "toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896] "AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2009-05-07 1904640] "WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888] "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-06-16 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-16 8466432] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-16 81920] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-05-27 40368] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-07-01 345144] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE -b -l [1999-2-17 65588] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc] @="Service" . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 2006-12-23 16:05 143360 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2006-01-12 13:40 155648 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe] 2012-10-13 00:54 1088424 ----a-w- c:\program files\Nokia\Nokia Suite\NokiaSuite.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-03-18 20:16 421888 ----a-w- c:\program files\QuickTime\QTTask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel] 2007-05-07 16:51 1826816 ----a-w- c:\windows\SkyTel.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast] 2007-05-08 07:06 790016 ----a-w- c:\program files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe . R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-01-08 1136600] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - ECACHE . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}] 2008-02-25 09:55 7680 ----a-w- c:\program files\PixiePack Codec Pack\InstallerHelper.exe . Inhalt des "geplante Tasks" Ordners . 2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-03-21 14:08] . 2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-03-21 14:08] . 2013-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003Core.job - c:\users\Werner Herz\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-10 19:06] . 2013-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003UA.job - c:\users\Werner Herz\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-10 19:06] . 2013-07-04 c:\windows\Tasks\User_Feed_Synchronization-{E7E3DCEC-8A47-46EB-B227-FBA51D1E7BA1}.job - c:\windows\system32\msfeedssync.exe [2013-06-12 00:18] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://downunder-music.de/ uInternet Settings,ProxyOverride = fritz.box;*.local uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: Download Video - hxxp://www.viloader.net/addon.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-1170-17534-28/4 TCP: DhcpNameServer = 192.168.178.1 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . WebBrowser-{6CD56C02-CB4D-41B5-A0FE-B479061CCB41} - (no file) WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file) WebBrowser-{7E111A5C-3D11-4F56-9463-5310C3C69025} - (no file) SafeBoot-WudfPf SafeBoot-WudfRd . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2013-07-05 00:38 Windows 6.0.6002 Service Pack 2 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . Zeit der Fertigstellung: 2013-07-05 00:40:07 ComboFix-quarantined-files.txt 2013-07-04 22:40 . Vor Suchlauf: 12 Verzeichnis(se), 166.921.469.952 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 166.931.763.200 Bytes frei . - - End Of File - - 4109887C34EEFA51A4E018C1865DBCAA 5C616939100B85E558DA92B899A0FC36 So, jetzt leg ich mich flach. Danke für die bis jetzt geopferte Zeit. Servus! |
05.07.2013, 14:50 | #14 |
/// TB-Ausbilder | Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Na da wundert einen nix mehr. Entferne mal diesen Unsinn hier: 2013-06-29 19:24 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Local\Max Secure Software 2013-06-29 19:23 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\GetRightToGo 2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\SpeedMaxPc 2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\DriverCure 2013-06-29 10:02 . 2013-06-29 10:32 -------- d-----w- c:\programdata\SpeedMaxPc Windows-Defender abschalten Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:
Mehr zu den Hintergründen und einer tieferen Deaktivierung: LINK Danach versuche bitte Combofix im normalen Modus laufen zu lassen
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
05.07.2013, 19:07 | #15 |
| Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Hallo, das ist mir alles ein wenig zu hoch. Hab versucht, den Unsinn zu löschen. Ich hab allerdings die angegebenen Pfade im normalen Windows-Explorer gar nicht gefunden. Ich hab den Unsinn jetzt mal im abgesicherten Modus gelöscht. Danach hab ich den Windows Defender deaktiviert und dann nach langem Herumsuchen (ich kenn mich da wirklich zu wenig aus), hab ich den Haken im Menü Organisieren -Ordneroptionen - Ansicht bei "Geschützte Systemdateien ausblenden" rausgemacht und "Versteckte Dateien und Ordner ausblenden deaktiviert. Jetzt seh ich zumindest mal mehr Verzeichnisse und finde auch die von Dir angegebenen. Allerdings sind bei etlichen Ordnern Pfeile eingeblendet und auf diese Ordner kann ich nicht zugreifen. Ist das normal oder bloß eine Einstellungssache. Combofix kann ich im normalen Modus immer noch nicht starten. Es kommt: "Der angegebene Dienst ist kein installierter Dienst. Langsam geht´s an die Nerven, wenn man so hilflos ist. Aber ich hab ja kompetente Hilfe von Dir - das wird schon. Nächster Schritt??? Grüße Werner |
Themen zu Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. |
abgesicherten, ausführung, avira, befall, befragung, blockiert, code, datei, desktop, eingeschränkt, einträge, experten, fehler, gelöscht, kaspersky, laden, meldungen, modul, modus, nicht mehr, probleme, professionell, programme, quarantäne, rechner, windows |