Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
GVU Trojaner (neue Version)

GVU Trojaner (neue Version)


Plagegeister aller Art und deren Bekämpfung: GVU Trojaner (neue Version)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 07.07.2013, 16:04   #1
ttcoupe
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Hallo,

ich habe mir heute den GVU-Trojaner eingefangen. Seitdem konnte ich Windows 7 64bit nicht mehr normal oder im abgesicherten Modus starten (werder abgesichert, noch abgesichert mit command prompt), last known good configuration geht auch nicht mehr.

Habe den Windowsunlocker durchgeführt. Dann ließ sich Windows 7 auch nicht wieder starten. Nach Update der Virenfiles in Kaspersky habe ich einen Scan durchgeführt und 4 Dateien unter Quarantäne gestellt (bzw. eine löschen müssen, weil ich diese nicht unter Quarantäne stellen konne).

Win 7 kann immer noch nicht hochgefahren werden.

Das Windows Repair mit der Win Installationsdisk findet Fehler, kann diese aber nicht beheben.

Wiederherstellungspunkte existieren auch nicht mehr.

Naturgemäß kann ich defogger, OTL und/oder GMER nicht mehr installieren und laufen lassen.

Was kann ich noch tun? Danke!
Geändert von ttcoupe (07.07.2013 um 16:11 Uhr)

Alt 07.07.2013, 16:38   #2
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Mir sagen was da in Quarantäne gestellt wurde.

und

!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.




Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:
Bitte lesen:
Regeln für die Bereinigung
  • Illegal genutzte Software
    Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
  • Keine Garantie
    Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
  • Keine Alleingänge
    Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
  • Aufmerksam lesen und nachfragen
    Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
  • Richtig antworten
    • Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
    • Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss. Denke bitte aber auch daran, dass wir diesen Thread und deine Logfiles nachträglich nicht editieren werden! (siehe LINK)
    • Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
      [CODE] (Logfile) [/CODE]
    • Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten. (Hier gibt es eine Anleitung)
  • Keine privaten Nachrichten
    Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
  • Wie läuft die Bereinigung ab?
    Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).
__________________

__________________
Alt 07.07.2013, 16:58   #3
ttcoupe
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Hallo,

hier ist der Logfile:


FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-07-2013
Ran by SYSTEM on 07-07-2013 17:44:01
Running from G:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: English(US)
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet002
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [12452456 2012-02-21] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_Dolby] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /FORPCEE4  [1158248 2012-02-08] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2884880 2012-02-23] (Synaptics Incorporated)
HKLM\...\Run: [BTMTrayAgent] rundll32.exe "C:\Program Files (x86)\Intel\Bluetooth\btmshell.dll",TrayApp [11406608 2011-12-19] (Intel Corporation)
HKLM\...\Run: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe [430080 2012-05-10] (CyberLink)
HKLM\...\Run: [CDAServer] C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe [438784 2010-12-17] ()
HKLM\...\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [444904 2012-09-19] (Adobe Systems Incorporated)
HKLM\...\RunOnce: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe /DeleteRunKey [430080 2012-05-10] (CyberLink)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284440 2011-11-29] (Intel Corporation)
HKLM-x32\...\Run: [USB3MON] "C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [291608 2012-01-04] (Intel Corporation)
HKLM-x32\...\Run: [Dolby Advanced Audio v2] "C:\Program Files (x86)\Dolby Advanced Audio v2\pcee4.exe" -autostart [507744 2011-12-20] (Dolby Laboratories Inc.)
HKLM-x32\...\Run: [CLMLServer] "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [107816 2010-08-03] (CyberLink)
HKLM-x32\...\Run: [RemoteControl10] "C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe" [87336 2011-03-30] (CyberLink Corp.)
HKLM-x32\...\Run: [BDRegion] C:\Program Files (x86)\Cyberlink\Shared files\brs.exe [75048 2011-09-28] (cyberlink)
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-04-21] (Apple Inc.)
HKLM-x32\...\Run: []  [x]
HKLM-x32\...\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe" [3478600 2013-05-11] (Adobe Systems Inc.)
HKLM-x32\...\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [152392 2013-05-31] (Apple Inc.)
HKU\User\...\Winlogon: [Shell] Explorer.exe <==== ATTENTION 
HKU\User\...\Command Processor: "C:\Users\User\AppData\Local\Temp\fxrkbtuhlijijjhnt.exe" <===== ATTENTION!
Startup: C:\ProgramData\Start Menu\Programs\Startup\watchmi tray.lnk
ShortcutTarget: watchmi tray.lnk -> C:\Windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064}\SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe (Acresso Software Inc.)

==================== Services (Whitelisted) =================

S2 ASLDRService; C:\Program Files (x86)\PHotkey\ASLDRSrv.exe [104968 2009-12-18] ()
S2 CLKMSVC10_38F51D56; C:\Program Files (x86)\CyberLink\PowerDVD10\NavFilter\kmsvc.exe [241648 2011-04-20] (CyberLink)
S2 CyberLink PowerDVD 10 MS Monitor Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSMonitorService.exe [70952 2011-04-13] (CyberLink)
S2 CyberLink PowerDVD 10 MS Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSServer.exe [312616 2011-04-13] (CyberLink)
S2 GFNEXSrv; C:\Program Files (x86)\PHotkey\GFNEXSrv.exe [156672 2011-10-13] ()
S2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [161560 2011-12-16] (Intel Corporation)
S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [273168 2011-12-08] ()
S2 N360; C:\Program Files (x86)\Norton 360 Premier Edition\Engine\20.4.0.40\ccSvcHst.exe [144368 2013-05-20] (Symantec Corporation)
S2 OfficeSvc; C:\Program Files\Microsoft Office 15\ClientX64\integratedoffice.exe [1900728 2013-06-05] (Microsoft Corporation)
S2 RichVideo64; C:\Program Files\CyberLink\Shared files\RichVideo64.exe [386344 2010-08-19] ()
S2 watchmi; C:\Program Files (x86)\watchmi\TvdService.exe [70144 2012-01-31] ()
S2 ZeroConfigService; C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe [594704 2011-12-08] (Intel® Corporation)

==================== Drivers (Whitelisted) ====================

S3 AnyDVD; C:\Windows\System32\Drivers\AnyDVD.sys [142424 2013-03-17] (SlySoft, Inc.)
S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
S1 ccSet_N360; C:\Windows\system32\drivers\N360x64\1404000.028\ccSetx64.sys [169048 2013-04-15] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2013-03-14] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2013-03-14] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [138912 2013-03-14] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-03-13] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-03-13] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\ENG64.SYS [126040 2013-06-28] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\ENG64.SYS [126040 2013-06-28] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\EX64.SYS [2098776 2013-06-28] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\EX64.SYS [2098776 2013-06-28] (Symantec Corporation)
S2 PEGAGFN; C:\Program Files (x86)\PHotkey\PEGAGFN.sys [14344 2009-09-11] (PEGATRON)
S3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [37480 2013-01-13] (RapidSolution Software AG)
S3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [37480 2013-01-13] (RapidSolution Software AG)
S3 SRTSP; C:\Windows\System32\Drivers\N360x64\1404000.028\SRTSP64.SYS [796760 2013-05-15] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\N360x64\1404000.028\SRTSPX64.SYS [36952 2013-03-04] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\N360x64\1404000.028\SYMDS64.SYS [493656 2013-05-20] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\N360x64\1404000.028\SYMEFA64.SYS [1139800 2013-05-22] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT64x86.SYS [177312 2013-06-18] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\N360x64\1404000.028\Ironx64.SYS [224416 2013-03-04] (Symantec Corporation)
S1 SymNetS; C:\Windows\System32\Drivers\N360x64\1404000.028\SYMNETS.SYS [433752 2013-04-24] (Symantec Corporation)
S3 uxddrv; \??\F:\uxddrv64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-07 17:43 - 2013-07-07 17:43 - 00000000 ____D C:\FRST
2013-07-07 06:56 - 2013-07-07 07:41 - 00000048 ____A C:\Windows\67A922183A030FBB.log
2013-07-07 04:41 - 2013-07-07 04:41 - 00000048 ____A C:\.directory
2013-07-07 04:28 - 2013-07-07 07:50 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0
2013-07-07 01:39 - 2013-07-07 01:39 - 00393526 ____A C:\Users\User\AppData\Local\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393518 ____A C:\ProgramData\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393463 ____A C:\Users\User\AppData\Roaming\2433f433
2013-07-05 08:29 - 2013-07-05 08:29 - 00035251 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (2).udf
2013-06-24 10:25 - 2013-06-24 10:25 - 00000000 ____D C:\Program Files\XING
2013-06-24 10:23 - 2013-06-24 10:36 - 00000000 ____D C:\Users\User\AppData\Roaming\XING
2013-06-22 23:11 - 2013-06-22 23:11 - 00180961 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_23.06.13_0911.export
2013-06-22 22:59 - 2013-06-22 22:59 - 00353987 ____A C:\Users\User\Downloads\FRITZ.Box 6360 Cable (um) 85.05.50_23.06.13_0858.export
2013-06-22 11:37 - 2013-06-22 11:37 - 00178672 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_22.06.13_2136.export
2013-06-21 23:09 - 2013-06-21 23:09 - 00154883 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7170 29.04.87_22.06.13_0909.export
2013-06-16 05:29 - 2013-06-23 04:17 - 00000000 ____D C:\Users\User\AppData\Roaming\ICAClient
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\Application Data\Juniper Networks
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\AppData\Roaming\Juniper Networks
2013-06-16 05:27 - 2013-06-16 05:27 - 00000000 ____D C:\Program Files (x86)\Citrix
2013-06-16 05:26 - 2013-06-16 05:26 - 05917696 ____A C:\Users\User\Downloads\Ica32PkgGE.msi
2013-06-16 04:57 - 2013-06-16 04:57 - 00034146 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (1).udf
2013-06-15 13:34 - 2013-06-08 06:08 - 01365504 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-15 13:34 - 2013-06-08 06:07 - 19233792 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-15 13:34 - 2013-06-08 06:06 - 15404544 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-15 13:34 - 2013-06-08 06:06 - 02648064 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-15 13:34 - 2013-06-08 06:06 - 00526336 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-15 13:34 - 2013-06-08 04:28 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-15 13:34 - 2013-06-08 03:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-06-15 13:34 - 2013-06-08 03:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-06-15 11:03 - 2013-06-15 11:03 - 00000000 ____D C:\Users\User\AppData\Local\Microsoft Help
2013-06-15 11:01 - 2013-06-15 11:01 - 00000000 ____D C:\Program Files (x86)\MSECache
2013-06-15 10:04 - 2013-06-15 10:04 - 02534440 ____A C:\Users\User\Downloads\XING_Connector_x86_v1.2_install.exe
2013-06-15 10:04 - 2013-06-15 10:04 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x86_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x64_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Program Files\7-Zip
2013-06-15 09:57 - 2013-06-15 09:57 - 02810688 ____A C:\Users\User\Downloads\XING_Connector_x64_v1.2_install.exe
2013-06-15 06:38 - 2013-06-15 06:38 - 00237885 ____A C:\Users\User\Downloads\vcards-XING.vcf
2013-06-12 21:15 - 2013-05-16 17:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-06-12 21:15 - 2013-05-16 16:59 - 02241024 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 21:15 - 2013-05-16 16:59 - 00051712 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 21:15 - 2013-05-16 16:58 - 03958784 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00855552 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00603136 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00136704 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00067072 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00053248 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00039936 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 21:15 - 2013-05-14 04:23 - 00089600 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-12 21:15 - 2013-05-14 00:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-06-12 10:36 - 2013-05-12 21:51 - 01464320 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 10:36 - 2013-05-12 21:51 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 10:36 - 2013-05-12 21:51 - 00139776 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 10:36 - 2013-05-12 21:50 - 00052224 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 10:36 - 2013-05-12 20:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2013-06-12 10:36 - 2013-05-12 20:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2013-06-12 10:36 - 2013-05-12 20:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2013-06-12 10:36 - 2013-05-12 19:43 - 01192448 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 10:36 - 2013-05-12 19:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certutil.exe
2013-06-12 10:36 - 2013-05-12 19:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certenc.dll
2013-06-12 10:36 - 2013-05-09 21:49 - 00030720 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 10:36 - 2013-05-09 19:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptdlg.dll
2013-06-12 10:36 - 2013-05-07 22:39 - 01910632 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 10:36 - 2013-04-25 21:51 - 00751104 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 10:36 - 2013-04-25 20:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-06-12 10:36 - 2013-04-25 15:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2013-06-12 10:36 - 2013-04-16 23:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2013-06-12 10:36 - 2013-04-16 22:24 - 01424384 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll
2013-06-12 10:36 - 2013-03-31 14:52 - 01887232 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-11 11:34 - 2013-06-11 11:34 - 00001787 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-06-11 11:33 - 2013-06-11 11:34 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-06-11 11:33 - 2013-06-11 11:34 - 00000000 ____D C:\Program Files\iTunes
2013-06-11 11:33 - 2013-06-11 11:34 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-06-11 11:33 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files\iPod

==================== One Month Modified Files and Folders =======

2013-07-07 17:43 - 2013-07-07 17:43 - 00000000 ____D C:\FRST
2013-07-07 07:50 - 2013-07-07 04:28 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0
2013-07-07 07:41 - 2013-07-07 06:56 - 00000048 ____A C:\Windows\67A922183A030FBB.log
2013-07-07 04:41 - 2013-07-07 04:41 - 00000048 ____A C:\.directory
2013-07-07 02:01 - 2013-01-23 05:05 - 01335768 ____A C:\Windows\WindowsUpdate.log
2013-07-07 02:01 - 2009-07-13 20:45 - 00016944 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-07 02:01 - 2009-07-13 20:45 - 00016944 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-07 02:00 - 2011-05-16 06:04 - 00654400 ____A C:\Windows\System32\perfh007.dat
2013-07-07 02:00 - 2011-05-16 06:04 - 00130240 ____A C:\Windows\System32\perfc007.dat
2013-07-07 02:00 - 2009-07-13 21:13 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-07 01:59 - 2013-01-23 05:08 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-07 01:59 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-07 01:59 - 2009-07-13 20:51 - 00137490 ____A C:\Windows\setupact.log
2013-07-07 01:39 - 2013-07-07 01:39 - 00393526 ____A C:\Users\User\AppData\Local\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393518 ____A C:\ProgramData\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393463 ____A C:\Users\User\AppData\Roaming\2433f433
2013-07-07 01:39 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Excel
2013-07-07 01:39 - 2013-01-23 05:14 - 00000000 ____D C:\Users\User\Documents\Youcam
2013-07-07 01:32 - 2013-01-23 05:08 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-07 01:13 - 2013-03-14 13:46 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-05 22:10 - 2010-11-20 19:47 - 00109014 ____A C:\Windows\PFRO.log
2013-07-05 08:29 - 2013-07-05 08:29 - 00035251 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (2).udf
2013-07-04 23:17 - 2013-04-16 03:32 - 00000072 ____A C:\Users\Public\LMDebug.log
2013-07-04 10:35 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Mellie
2013-07-04 02:10 - 2013-04-14 00:29 - 00000000 ____D C:\Users\User\AppData\Local\CrashDumps
2013-07-02 23:38 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\System32\NDF
2013-07-02 21:36 - 2013-03-24 12:40 - 00000083 ___SH C:\ProgramData\.zreglib
2013-07-02 21:28 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Word
2013-06-29 05:59 - 2013-03-28 13:09 - 00000000 ____D C:\Users\User\AppData\Roaming\vlc
2013-06-29 05:57 - 2013-03-28 13:09 - 00000000 ____D C:\Users\User\AppData\Roaming\dvdcss
2013-06-24 12:58 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Powerpoint
2013-06-24 10:36 - 2013-06-24 10:23 - 00000000 ____D C:\Users\User\AppData\Roaming\XING
2013-06-24 10:25 - 2013-06-24 10:25 - 00000000 ____D C:\Program Files\XING
2013-06-23 04:17 - 2013-06-16 05:29 - 00000000 ____D C:\Users\User\AppData\Roaming\ICAClient
2013-06-22 23:36 - 2013-03-14 12:19 - 00000000 ____D C:\Windows\System32\Drivers\N360x64
2013-06-22 23:11 - 2013-06-22 23:11 - 00180961 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_23.06.13_0911.export
2013-06-22 22:59 - 2013-06-22 22:59 - 00353987 ____A C:\Users\User\Downloads\FRITZ.Box 6360 Cable (um) 85.05.50_23.06.13_0858.export
2013-06-22 11:37 - 2013-06-22 11:37 - 00178672 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_22.06.13_2136.export
2013-06-21 23:09 - 2013-06-21 23:09 - 00154883 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7170 29.04.87_22.06.13_0909.export
2013-06-19 21:22 - 2012-05-16 09:37 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-19 21:22 - 2012-05-16 09:37 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-19 12:46 - 2013-01-23 05:08 - 00002187 ____A C:\Users\Public\Desktop\Google Chrome.lnk
2013-06-18 21:36 - 2013-03-14 12:20 - 00177312 ____A (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT64x86.SYS
2013-06-18 21:36 - 2013-03-14 12:20 - 00007631 ____A C:\Windows\System32\Drivers\SYMEVENT64x86.CAT
2013-06-16 10:11 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\PDF
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\Application Data\Juniper Networks
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\AppData\Roaming\Juniper Networks
2013-06-16 05:27 - 2013-06-16 05:27 - 00000000 ____D C:\Program Files (x86)\Citrix
2013-06-16 05:26 - 2013-06-16 05:26 - 05917696 ____A C:\Users\User\Downloads\Ica32PkgGE.msi
2013-06-16 04:57 - 2013-06-16 04:57 - 00034146 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (1).udf
2013-06-15 11:03 - 2013-06-15 11:03 - 00000000 ____D C:\Users\User\AppData\Local\Microsoft Help
2013-06-15 11:01 - 2013-06-15 11:01 - 00000000 ____D C:\Program Files (x86)\MSECache
2013-06-15 10:04 - 2013-06-15 10:04 - 02534440 ____A C:\Users\User\Downloads\XING_Connector_x86_v1.2_install.exe
2013-06-15 10:04 - 2013-06-15 10:04 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x86_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x64_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Program Files\7-Zip
2013-06-15 09:57 - 2013-06-15 09:57 - 02810688 ____A C:\Users\User\Downloads\XING_Connector_x64_v1.2_install.exe
2013-06-15 06:38 - 2013-06-15 06:38 - 00237885 ____A C:\Users\User\Downloads\vcards-XING.vcf
2013-06-13 23:56 - 2013-03-14 12:29 - 00000000 ____D C:\Program Files\Microsoft Office 15
2013-06-12 21:57 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\rescache
2013-06-12 21:15 - 2011-07-18 12:31 - 75825640 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-11 11:34 - 2013-06-11 11:34 - 00001787 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-06-11 11:34 - 2013-06-11 11:33 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-06-11 11:34 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files\iTunes
2013-06-11 11:34 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-06-11 11:33 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files\iPod
2013-06-08 06:08 - 2013-06-15 13:34 - 01365504 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-08 06:07 - 2013-06-15 13:34 - 19233792 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-08 06:06 - 2013-06-15 13:34 - 15404544 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-08 06:06 - 2013-06-15 13:34 - 02648064 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-08 06:06 - 2013-06-15 13:34 - 00526336 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-08 04:28 - 2013-06-15 13:34 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-08 03:42 - 2013-06-15 13:34 - 01141248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 14327808 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 13760512 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 02046976 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 00391168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-06-08 03:13 - 2013-06-15 13:34 - 02706432 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 10%
Total physical RAM: 8086.47 MB
Available physical RAM: 7206.41 MB
Total Pagefile: 8084.67 MB
Available Pagefile: 7209.96 MB
Total Virtual: 8192 MB
Available Virtual: 8191.84 MB

==================== Drives ================================

Drive c: (Boot) (Fixed) (Total:200.28 GB) (Free:61.57 GB) NTFS (Disk=0 Partition=2)
Drive e: (Data) (Fixed) (Total:32.21 GB) (Free:7.99 GB) NTFS (Disk=0 Partition=3)
Drive f: (MDW7HP64S1) (CDROM) (Total:3.98 GB) (Free:0 GB) UDF
Drive g: (HITMANPRO) (Removable) (Total:3.74 GB) (Free:3.74 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (Data) (Fixed) (Total:0.39 GB) (Free:0.3 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 233 GB) (Disk ID: ADDD3380)
Partition 1: (Active) - (Size=400 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=200 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=32 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 4AA2A1B8)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-07-02 22:22

==================== End Of Log ============================
--- --- ---

--- --- ---

[/CODE]

gelöscht wurde: fxrkbtuhijijjhnt.exe
Unter Quarantäne sind:

Code:
ATTFilter
Untersuchung von Objekten: wurde abgeschlossen vor 15893 Tagen  (Ereignis: 12, Objekte: 728019, Zeit: 01:18:45)	
07.07.13 14:31	Aufgabe wurde gestartet			
07.07.13 14:48	Gefunden: HEUR:Trojan.Win32.Generic	/mnt/MountedDevices/PD-ADDD3380-0000000019100000/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3d7dded2-483916a4		
07.07.13 14:48	Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic	/mnt/MountedDevices/PD-ADDD3380-0000000019100000/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3d7dded2-483916a4	Zurückgestellt	
07.07.13 14:48	Gefunden: HEUR:Exploit.Java.CVE-2013-2423.gen	/mnt/MountedDevices/PD-ADDD3380-0000000019100000/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/23/32a54997-15002b71		
07.07.13 14:48	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2013-2423.gen	/mnt/MountedDevices/PD-ADDD3380-0000000019100000/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/23/32a54997-15002b71	Zurückgestellt	
07.07.13 15:14	Gefunden: HEUR:Exploit.Java.CVE-2013-2423.gen	C:/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/23/32a54997-15002b71		
07.07.13 15:14	Gefunden: HEUR:Trojan.Win32.Generic	C:/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3d7dded2-483916a4		
07.07.13 15:14	Nicht desinfizierte Objekte: HEUR:Exploit.Java.CVE-2013-2423.gen	C:/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/23/32a54997-15002b71	Zurückgestellt	
07.07.13 15:14	Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic	C:/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3d7dded2-483916a4	Zurückgestellt	
07.07.13 15:49	Gefunden: HEUR:Trojan.Win32.Generic	/mnt/MountedDevices/PD-ADDD3380-0000000019100000/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/18/3d7dded2-483916a4		
07.07.13 15:49	Gefunden: HEUR:Exploit.Java.CVE-2013-2423.gen	/mnt/MountedDevices/PD-ADDD3380-0000000019100000/Users/User/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/23/32a54997-15002b71		
07.07.13 15:49	Aufgabe wurde abgeschlossen
Ich hoffe, dass das weiterhilft. Danke schonmal!
__________________
Alt 07.07.2013, 18:18   #4
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Okay schauen wir mal ob wir die Kist aufkriegen:

Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
HKU\User\...\Winlogon: [Shell] Explorer.exe <==== ATTENTION 
HKU\User\...\Command Processor: "C:\Users\User\AppData\Local\Temp\fxrkbtuhlijijjhnt.exe" <===== ATTENTION!
C:\Users\User\AppData\Local\Temp\fxrkbtuhlijijjhnt.exe
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
Funktioniert normales booten?
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 07.07.2013, 18:46   #5
ttcoupe
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Hallo,

ich kann leider immer noch nicht wieder hochfahren (weder normal noch abgesichert).

Hier der Logfile:
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 04-07-2013
Ran by SYSTEM at 2013-07-07 19:39:52 Run:1
Running from G:\
Boot Mode: Recovery
==============================================

HKU\User\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\User\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
"C:\Users\User\AppData\Local\Temp\fxrkbtuhlijijjhnt.exe" => File/Directory not found.

==== End of Fixlog ====
Die "fxrkbtuhlijijjhnt.exe" konnte nicht automatisch gelöscht werden, da ich sie bereits gelöscht hatte.

Danke & Gruß


Alt 07.07.2013, 18:49   #6
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Okay, das ist ein echtes Miststück hier.

Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
2013-07-07 01:39 - 2013-07-07 01:39 - 00393526 ____A C:\Users\User\AppData\Local\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393518 ____A C:\ProgramData\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393463 ____A C:\Users\User\AppData\Roaming\2433f433
2013-07-07 01:39 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Excel
2013-07-07 01:39 - 2013-01-23 05:14 - 00000000 ____D C:\Users\User\Documents\Youcam
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
Wenn es diesmal nicht klappt, dann brauche ich ein neues Logfile.
__________________
--> GVU Trojaner (neue Version)

Alt 07.07.2013, 19:00   #7
ttcoupe
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Hallo, danke für die schnelle Antwort.
Leider immer noch kein Hochfahren möglich (bricht auf dem Screen auf dem die vier Windows Farben einfliegen sollten ab) (kein normales oder abgesichertes Hochfahren).

Fixfile:
Code:
ATTFilter
ix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 04-07-2013
Ran by SYSTEM at 2013-07-07 19:54:32 Run:2
Running from G:\
Boot Mode: Recovery
==============================================

C:\Users\User\AppData\Local\2433f433 => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.
C:\Users\User\AppData\Roaming\2433f433 => Moved successfully.
C:\Users\User\Documents\Excel => Moved successfully.
C:\Users\User\Documents\Youcam => Moved successfully.

==== End of Fixlog ====
neue FRST.txt:


FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-07-2013
Ran by SYSTEM on 07-07-2013 19:54:48
Running from G:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: English(US)
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet002
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [12452456 2012-02-21] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_Dolby] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /FORPCEE4  [1158248 2012-02-08] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2884880 2012-02-23] (Synaptics Incorporated)
HKLM\...\Run: [BTMTrayAgent] rundll32.exe "C:\Program Files (x86)\Intel\Bluetooth\btmshell.dll",TrayApp [11406608 2011-12-19] (Intel Corporation)
HKLM\...\Run: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe [430080 2012-05-10] (CyberLink)
HKLM\...\Run: [CDAServer] C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe [438784 2010-12-17] ()
HKLM\...\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [444904 2012-09-19] (Adobe Systems Incorporated)
HKLM\...\RunOnce: [MedionReminder] C:\Program Files (x86)\CyberLink\PowerRecover\Reminder.exe /DeleteRunKey [430080 2012-05-10] (CyberLink)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284440 2011-11-29] (Intel Corporation)
HKLM-x32\...\Run: [USB3MON] "C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [291608 2012-01-04] (Intel Corporation)
HKLM-x32\...\Run: [Dolby Advanced Audio v2] "C:\Program Files (x86)\Dolby Advanced Audio v2\pcee4.exe" -autostart [507744 2011-12-20] (Dolby Laboratories Inc.)
HKLM-x32\...\Run: [CLMLServer] "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [107816 2010-08-03] (CyberLink)
HKLM-x32\...\Run: [RemoteControl10] "C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe" [87336 2011-03-30] (CyberLink Corp.)
HKLM-x32\...\Run: [BDRegion] C:\Program Files (x86)\Cyberlink\Shared files\brs.exe [75048 2011-09-28] (cyberlink)
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-04-21] (Apple Inc.)
HKLM-x32\...\Run: []  [x]
HKLM-x32\...\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe" [3478600 2013-05-11] (Adobe Systems Inc.)
HKLM-x32\...\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [152392 2013-05-31] (Apple Inc.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\watchmi tray.lnk
ShortcutTarget: watchmi tray.lnk -> C:\Windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064}\SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe (Acresso Software Inc.)

==================== Services (Whitelisted) =================

S2 ASLDRService; C:\Program Files (x86)\PHotkey\ASLDRSrv.exe [104968 2009-12-18] ()
S2 CLKMSVC10_38F51D56; C:\Program Files (x86)\CyberLink\PowerDVD10\NavFilter\kmsvc.exe [241648 2011-04-20] (CyberLink)
S2 CyberLink PowerDVD 10 MS Monitor Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSMonitorService.exe [70952 2011-04-13] (CyberLink)
S2 CyberLink PowerDVD 10 MS Service; C:\Program Files (x86)\CyberLink\PowerDVD10\Device\MediaServer\CLMSServer.exe [312616 2011-04-13] (CyberLink)
S2 GFNEXSrv; C:\Program Files (x86)\PHotkey\GFNEXSrv.exe [156672 2011-10-13] ()
S2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [161560 2011-12-16] (Intel Corporation)
S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [273168 2011-12-08] ()
S2 N360; C:\Program Files (x86)\Norton 360 Premier Edition\Engine\20.4.0.40\ccSvcHst.exe [144368 2013-05-20] (Symantec Corporation)
S2 OfficeSvc; C:\Program Files\Microsoft Office 15\ClientX64\integratedoffice.exe [1900728 2013-06-05] (Microsoft Corporation)
S2 RichVideo64; C:\Program Files\CyberLink\Shared files\RichVideo64.exe [386344 2010-08-19] ()
S2 watchmi; C:\Program Files (x86)\watchmi\TvdService.exe [70144 2012-01-31] ()
S2 ZeroConfigService; C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe [594704 2011-12-08] (Intel® Corporation)

==================== Drivers (Whitelisted) ====================

S3 AnyDVD; C:\Windows\System32\Drivers\AnyDVD.sys [142424 2013-03-17] (SlySoft, Inc.)
S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
S1 ccSet_N360; C:\Windows\system32\drivers\N360x64\1404000.028\ccSetx64.sys [169048 2013-04-15] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2013-03-14] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2013-03-14] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [138912 2013-03-14] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-03-13] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-03-13] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\ENG64.SYS [126040 2013-06-28] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\ENG64.SYS [126040 2013-06-28] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\EX64.SYS [2098776 2013-06-28] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_20.1.0.24\Definitions\VirusDefs\20130706.003\EX64.SYS [2098776 2013-06-28] (Symantec Corporation)
S2 PEGAGFN; C:\Program Files (x86)\PHotkey\PEGAGFN.sys [14344 2009-09-11] (PEGATRON)
S3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [37480 2013-01-13] (RapidSolution Software AG)
S3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [37480 2013-01-13] (RapidSolution Software AG)
S3 SRTSP; C:\Windows\System32\Drivers\N360x64\1404000.028\SRTSP64.SYS [796760 2013-05-15] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\N360x64\1404000.028\SRTSPX64.SYS [36952 2013-03-04] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\N360x64\1404000.028\SYMDS64.SYS [493656 2013-05-20] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\N360x64\1404000.028\SYMEFA64.SYS [1139800 2013-05-22] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT64x86.SYS [177312 2013-06-18] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\N360x64\1404000.028\Ironx64.SYS [224416 2013-03-04] (Symantec Corporation)
S1 SymNetS; C:\Windows\System32\Drivers\N360x64\1404000.028\SYMNETS.SYS [433752 2013-04-24] (Symantec Corporation)
S3 uxddrv; \??\F:\uxddrv64.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-07 17:43 - 2013-07-07 17:43 - 00000000 ____D C:\FRST
2013-07-07 09:41 - 2013-07-07 09:51 - 00000048 ____A C:\Windows\67A922183A030FBB.log
2013-07-07 04:41 - 2013-07-07 04:41 - 00000048 ____A C:\.directory
2013-07-07 04:28 - 2013-07-07 07:50 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0
2013-07-05 08:29 - 2013-07-05 08:29 - 00035251 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (2).udf
2013-06-24 10:25 - 2013-06-24 10:25 - 00000000 ____D C:\Program Files\XING
2013-06-24 10:23 - 2013-06-24 10:36 - 00000000 ____D C:\Users\User\AppData\Roaming\XING
2013-06-22 23:11 - 2013-06-22 23:11 - 00180961 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_23.06.13_0911.export
2013-06-22 22:59 - 2013-06-22 22:59 - 00353987 ____A C:\Users\User\Downloads\FRITZ.Box 6360 Cable (um) 85.05.50_23.06.13_0858.export
2013-06-22 11:37 - 2013-06-22 11:37 - 00178672 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_22.06.13_2136.export
2013-06-21 23:09 - 2013-06-21 23:09 - 00154883 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7170 29.04.87_22.06.13_0909.export
2013-06-16 05:29 - 2013-06-23 04:17 - 00000000 ____D C:\Users\User\AppData\Roaming\ICAClient
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\Application Data\Juniper Networks
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\AppData\Roaming\Juniper Networks
2013-06-16 05:27 - 2013-06-16 05:27 - 00000000 ____D C:\Program Files (x86)\Citrix
2013-06-16 05:26 - 2013-06-16 05:26 - 05917696 ____A C:\Users\User\Downloads\Ica32PkgGE.msi
2013-06-16 04:57 - 2013-06-16 04:57 - 00034146 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (1).udf
2013-06-15 13:34 - 2013-06-08 06:08 - 01365504 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-15 13:34 - 2013-06-08 06:07 - 19233792 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-15 13:34 - 2013-06-08 06:06 - 15404544 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-15 13:34 - 2013-06-08 06:06 - 02648064 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-15 13:34 - 2013-06-08 06:06 - 00526336 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-15 13:34 - 2013-06-08 04:28 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-15 13:34 - 2013-06-08 03:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-06-15 13:34 - 2013-06-08 03:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-06-15 13:34 - 2013-06-08 03:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-06-15 11:03 - 2013-06-15 11:03 - 00000000 ____D C:\Users\User\AppData\Local\Microsoft Help
2013-06-15 11:01 - 2013-06-15 11:01 - 00000000 ____D C:\Program Files (x86)\MSECache
2013-06-15 10:04 - 2013-06-15 10:04 - 02534440 ____A C:\Users\User\Downloads\XING_Connector_x86_v1.2_install.exe
2013-06-15 10:04 - 2013-06-15 10:04 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x86_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x64_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Program Files\7-Zip
2013-06-15 09:57 - 2013-06-15 09:57 - 02810688 ____A C:\Users\User\Downloads\XING_Connector_x64_v1.2_install.exe
2013-06-15 06:38 - 2013-06-15 06:38 - 00237885 ____A C:\Users\User\Downloads\vcards-XING.vcf
2013-06-12 21:15 - 2013-05-16 17:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-06-12 21:15 - 2013-05-16 17:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-06-12 21:15 - 2013-05-16 16:59 - 02241024 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 21:15 - 2013-05-16 16:59 - 00051712 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 21:15 - 2013-05-16 16:58 - 03958784 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00855552 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00603136 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00136704 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00067072 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00053248 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 21:15 - 2013-05-16 16:58 - 00039936 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 21:15 - 2013-05-14 04:23 - 00089600 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-12 21:15 - 2013-05-14 00:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-06-12 10:36 - 2013-05-12 21:51 - 01464320 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 10:36 - 2013-05-12 21:51 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 10:36 - 2013-05-12 21:51 - 00139776 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 10:36 - 2013-05-12 21:50 - 00052224 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 10:36 - 2013-05-12 20:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2013-06-12 10:36 - 2013-05-12 20:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2013-06-12 10:36 - 2013-05-12 20:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2013-06-12 10:36 - 2013-05-12 19:43 - 01192448 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 10:36 - 2013-05-12 19:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certutil.exe
2013-06-12 10:36 - 2013-05-12 19:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certenc.dll
2013-06-12 10:36 - 2013-05-09 21:49 - 00030720 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 10:36 - 2013-05-09 19:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptdlg.dll
2013-06-12 10:36 - 2013-05-07 22:39 - 01910632 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 10:36 - 2013-04-25 21:51 - 00751104 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 10:36 - 2013-04-25 20:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-06-12 10:36 - 2013-04-25 15:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2013-06-12 10:36 - 2013-04-16 23:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2013-06-12 10:36 - 2013-04-16 22:24 - 01424384 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll
2013-06-12 10:36 - 2013-03-31 14:52 - 01887232 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-11 11:34 - 2013-06-11 11:34 - 00001787 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-06-11 11:33 - 2013-06-11 11:34 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-06-11 11:33 - 2013-06-11 11:34 - 00000000 ____D C:\Program Files\iTunes
2013-06-11 11:33 - 2013-06-11 11:34 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-06-11 11:33 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files\iPod

==================== One Month Modified Files and Folders =======

2013-07-07 17:43 - 2013-07-07 17:43 - 00000000 ____D C:\FRST
2013-07-07 09:51 - 2013-07-07 09:41 - 00000048 ____A C:\Windows\67A922183A030FBB.log
2013-07-07 07:50 - 2013-07-07 04:28 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0
2013-07-07 04:41 - 2013-07-07 04:41 - 00000048 ____A C:\.directory
2013-07-07 02:01 - 2013-01-23 05:05 - 01335768 ____A C:\Windows\WindowsUpdate.log
2013-07-07 02:01 - 2009-07-13 20:45 - 00016944 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-07 02:01 - 2009-07-13 20:45 - 00016944 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-07 02:00 - 2011-05-16 06:04 - 00654400 ____A C:\Windows\System32\perfh007.dat
2013-07-07 02:00 - 2011-05-16 06:04 - 00130240 ____A C:\Windows\System32\perfc007.dat
2013-07-07 02:00 - 2009-07-13 21:13 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-07 01:59 - 2013-01-23 05:08 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-07 01:59 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-07 01:59 - 2009-07-13 20:51 - 00137490 ____A C:\Windows\setupact.log
2013-07-07 01:32 - 2013-01-23 05:08 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-07 01:13 - 2013-03-14 13:46 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-05 22:10 - 2010-11-20 19:47 - 00109014 ____A C:\Windows\PFRO.log
2013-07-05 08:29 - 2013-07-05 08:29 - 00035251 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (2).udf
2013-07-04 23:17 - 2013-04-16 03:32 - 00000072 ____A C:\Users\Public\LMDebug.log
2013-07-04 10:35 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Mellie
2013-07-04 02:10 - 2013-04-14 00:29 - 00000000 ____D C:\Users\User\AppData\Local\CrashDumps
2013-07-02 23:38 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\System32\NDF
2013-07-02 21:36 - 2013-03-24 12:40 - 00000083 ___SH C:\ProgramData\.zreglib
2013-07-02 21:28 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Word
2013-06-29 05:59 - 2013-03-28 13:09 - 00000000 ____D C:\Users\User\AppData\Roaming\vlc
2013-06-29 05:57 - 2013-03-28 13:09 - 00000000 ____D C:\Users\User\AppData\Roaming\dvdcss
2013-06-24 12:58 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Powerpoint
2013-06-24 10:36 - 2013-06-24 10:23 - 00000000 ____D C:\Users\User\AppData\Roaming\XING
2013-06-24 10:25 - 2013-06-24 10:25 - 00000000 ____D C:\Program Files\XING
2013-06-23 04:17 - 2013-06-16 05:29 - 00000000 ____D C:\Users\User\AppData\Roaming\ICAClient
2013-06-22 23:36 - 2013-03-14 12:19 - 00000000 ____D C:\Windows\System32\Drivers\N360x64
2013-06-22 23:11 - 2013-06-22 23:11 - 00180961 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_23.06.13_0911.export
2013-06-22 22:59 - 2013-06-22 22:59 - 00353987 ____A C:\Users\User\Downloads\FRITZ.Box 6360 Cable (um) 85.05.50_23.06.13_0858.export
2013-06-22 11:37 - 2013-06-22 11:37 - 00178672 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7390 84.05.52_22.06.13_2136.export
2013-06-21 23:09 - 2013-06-21 23:09 - 00154883 ____A C:\Users\User\Downloads\FRITZ.Box Fon WLAN 7170 29.04.87_22.06.13_0909.export
2013-06-19 21:22 - 2012-05-16 09:37 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-19 21:22 - 2012-05-16 09:37 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-19 12:46 - 2013-01-23 05:08 - 00002187 ____A C:\Users\Public\Desktop\Google Chrome.lnk
2013-06-18 21:36 - 2013-03-14 12:20 - 00177312 ____A (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT64x86.SYS
2013-06-18 21:36 - 2013-03-14 12:20 - 00007631 ____A C:\Windows\System32\Drivers\SYMEVENT64x86.CAT
2013-06-16 10:11 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\PDF
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\Application Data\Juniper Networks
2013-06-16 05:28 - 2013-06-16 05:28 - 00000000 ____D C:\Users\User\AppData\Roaming\Juniper Networks
2013-06-16 05:27 - 2013-06-16 05:27 - 00000000 ____D C:\Program Files (x86)\Citrix
2013-06-16 05:26 - 2013-06-16 05:26 - 05917696 ____A C:\Users\User\Downloads\Ica32PkgGE.msi
2013-06-16 04:57 - 2013-06-16 04:57 - 00034146 ____A C:\Users\User\Downloads\2 Kabel (Identisch) (1).udf
2013-06-15 11:03 - 2013-06-15 11:03 - 00000000 ____D C:\Users\User\AppData\Local\Microsoft Help
2013-06-15 11:01 - 2013-06-15 11:01 - 00000000 ____D C:\Program Files (x86)\MSECache
2013-06-15 10:04 - 2013-06-15 10:04 - 02534440 ____A C:\Users\User\Downloads\XING_Connector_x86_v1.2_install.exe
2013-06-15 10:04 - 2013-06-15 10:04 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x86_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Users\User\Downloads\XING_Connector_x64_v1.2_install
2013-06-15 09:58 - 2013-06-15 09:58 - 00000000 ____D C:\Program Files\7-Zip
2013-06-15 09:57 - 2013-06-15 09:57 - 02810688 ____A C:\Users\User\Downloads\XING_Connector_x64_v1.2_install.exe
2013-06-15 06:38 - 2013-06-15 06:38 - 00237885 ____A C:\Users\User\Downloads\vcards-XING.vcf
2013-06-13 23:56 - 2013-03-14 12:29 - 00000000 ____D C:\Program Files\Microsoft Office 15
2013-06-12 21:57 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\rescache
2013-06-12 21:15 - 2011-07-18 12:31 - 75825640 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-11 11:34 - 2013-06-11 11:34 - 00001787 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-06-11 11:34 - 2013-06-11 11:33 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-06-11 11:34 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files\iTunes
2013-06-11 11:34 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-06-11 11:33 - 2013-06-11 11:33 - 00000000 ____D C:\Program Files\iPod
2013-06-08 06:08 - 2013-06-15 13:34 - 01365504 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-08 06:07 - 2013-06-15 13:34 - 19233792 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-08 06:06 - 2013-06-15 13:34 - 15404544 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-08 06:06 - 2013-06-15 13:34 - 02648064 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-08 06:06 - 2013-06-15 13:34 - 00526336 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-08 04:28 - 2013-06-15 13:34 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-08 03:42 - 2013-06-15 13:34 - 01141248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 14327808 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 13760512 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 02046976 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-06-08 03:40 - 2013-06-15 13:34 - 00391168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-06-08 03:13 - 2013-06-15 13:34 - 02706432 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 10%
Total physical RAM: 8086.47 MB
Available physical RAM: 7215.75 MB
Total Pagefile: 8084.67 MB
Available Pagefile: 7209.19 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (Boot) (Fixed) (Total:200.28 GB) (Free:61.58 GB) NTFS (Disk=0 Partition=2)
Drive e: (Data) (Fixed) (Total:32.21 GB) (Free:7.99 GB) NTFS (Disk=0 Partition=3)
Drive f: (MDW7HP64S1) (CDROM) (Total:3.98 GB) (Free:0 GB) UDF
Drive g: (HITMANPRO) (Removable) (Total:3.74 GB) (Free:3.74 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (Data) (Fixed) (Total:0.39 GB) (Free:0.3 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 233 GB) (Disk ID: ADDD3380)
Partition 1: (Active) - (Size=400 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=200 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=32 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 4AA2A1B8)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-07-02 22:22

==================== End Of Log ============================
--- --- ---

--- --- ---

[/CODE]

Danke & Gruß

Irgendwie scheinen mir die Drivebezeichnungen durcheinander.

Eigentlich ist die Bootpartition C: (die Windows Installationsdisk sagt aber, die Win Partition sei d

Eigentlich ist das dvd Laufwerk e: in der Analyse wird es aber als f: bezeichnet.

Auf H: liegen Backup Files.

Gruß

Alt 07.07.2013, 19:15   #8
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Ah interessant. Probiere mit dem Reparaturmodus mal bitte eine Systemreparatur vor den 4.7.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 07.07.2013, 19:21   #9
ttcoupe
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


In meinem Win Menü (beim Booten F8 drücken) bekomme ich keinen Reparaturmodus als Auswahlmöglichkeit...

Und ein System Restore ist nicht möglich, da Win keine Wiederherstellungspunkte finden kann...

Danke.
Geändert von ttcoupe (07.07.2013 um 19:33 Uhr)

Alt 07.07.2013, 19:34   #10
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Dann probiere bitte das Booten mit

"Letzte als funktionierend bekannte Konfiguration" aus dem F8 menü heraus
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 07.07.2013, 19:38   #11
ttcoupe
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Danke, klappt leider auch nicht...

Alt 07.07.2013, 19:44   #12
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Jetzt fällt mir nur noch eine Sache ein .... im F8 Modus kann man noch den standard vga modus aktivieren. Evtl ist was mit dem Graphiktreiber passiert. Aber prinzipiell sind wir hier ziemlich am Ende, ab dem ich dir nicht mehr helfen kann
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 07.07.2013, 19:47   #13
ttcoupe
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Hallo,

ich hatte den 640x480 Modus einfach mal versucht, so als letzte Idee. Geht aber auch nicht. Da scheint der Trojaner ja ganze Arbeit geleistet zu haben...

Jetzt wüsste ich nur gerne, wie ich meine Daten auf ein Netzlaufwerk retten kann. Danach kann ich das System ja neu aufsetzen.

Gruß & Danke!

Alt 07.07.2013, 20:03   #14
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Am besten gehts eigentlich mit der Kaspersky CD, die mountet alle deine Laufwerke automatisch.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 09.07.2013, 13:51   #15
ryder
/// TB-Ausbilder
 
GVU Trojaner (neue Version) - Standard

GVU Trojaner (neue Version)


Schön, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Antwort
Seite 1 von 2 1 2

Themen zu GVU Trojaner (neue Version)
64bit, abgesicherte, abgesicherten, dateien, fehler, files, heute, hochgefahren, kaspersky, konnte, löschen, modus, neue, nicht mehr, quarantäne, scan, starte, starten, stelle, troja, trojaner, update, version, windows, windows 7


« Schwarzer Bildschirm nach hochfahren mit beweglichem Mauszeiger | Avira meldet jede Minute die gleichen Trojaner (Sirefef, ATRAPS und ZAcces) »


Ähnliche Themen: GVU Trojaner (neue Version)


  1. Neue Malwarebytes Version!
    Antiviren-, Firewall- und andere Schutzprogramme - 25.03.2014 (2)
  2. Neue Version BKA- Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 12.10.2013 (5)
  3. GVU Trojaner neue Version, explorer.exe blockiert
    Log-Analyse und Auswertung - 27.05.2013 (3)
  4. BKA Trojaner-Neue Version? Entschlüsseln der Dateien?
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (7)
  5. GVU Trojaner neue Version? anderes Bild
    Plagegeister aller Art und deren Bekämpfung - 30.01.2013 (9)
  6. BKA Trojaner neue version
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (2)
  7. Neue Version von Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (9)
  8. BKA Trojaner Österreich - ganz neue Version - Win XP
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (9)
  9. Bundespolizei Trojaner (neue Version) auf Win XP Pro
    Log-Analyse und Auswertung - 08.07.2012 (13)
  10. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  11. Windows Verschlüsselungs Trojaner neue Version nur Buchstabensalat
    Log-Analyse und Auswertung - 05.06.2012 (1)
  12. neue version von SmitFraud?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2008 (9)
  13. Spybot SD Version 1.4 RC (Neue Version)
    Antiviren-, Firewall- und andere Schutzprogramme - 25.05.2006 (13)
  14. Neue Version von STINGER
    Antiviren-, Firewall- und andere Schutzprogramme - 21.02.2005 (1)
  15. Neue Stinger Version 2.5.0.
    Antiviren-, Firewall- und andere Schutzprogramme - 18.02.2005 (4)
  16. Neue Thunderbird-Version 0.5
    Alles rund um Windows - 13.02.2004 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema GVU Trojaner (neue Version) - Hallo, ich habe mir heute den GVU-Trojaner eingefangen. Seitdem konnte ich Windows 7 64bit nicht mehr normal oder im abgesicherten Modus starten (werder abgesichert, noch abgesichert mit command prompt), last - GVU Trojaner (neue Version)...
Archiv
Du betrachtest: GVU Trojaner (neue Version) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131