|
Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner beendet abgesicherten ModusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.07.2013, 11:14 | #1 |
| GVU-Trojaner beendet abgesicherten Modus Hallo, auch ich habe mir jetzt den Trojaner eingefangen. Ich komme weder in den abgesicherten Modus noch auf die normale Windows 7 Oberfläche. Ich habe mich schon ein wenig hier durchgelesen, aber leider bisher ohne Erfolg. Hier meine FRST Logdatei Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 12-07-2013 02 Ran by SYSTEM on 13-07-2013 12:05:37 Running from E:\ Windows 7 Professional (X86) OS Language: German Standard Internet Explorer Version 9 Boot Mode: Recovery The current controlset is ControlSet004 ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log. ==================== Registry (Whitelisted) ================== HKLM\...\Run: [MSC] - "c:\Program Files\Microsoft Security Client\mssecex.exe" -hide -runkey [x] HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-07-16] (Samsung Electronics Co., Ltd.) HKLM\...\Run: [EEventManager] - "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [976320 2009-12-03] (SEIKO EPSON CORPORATION) HKLM\...\Run: [TrojanScanner] - C:\Program Files\Trojan Remover\Trjscan.exe /boot [1247504 2012-09-14] (Simply Super Software) HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.) HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [685048 2012-08-03] (Cisco Systems, Inc.) HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation) HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation) HKU\Imperator\...\Run: [KiesPreload] - C:\Program Files\Samsung\Kies\Kies.exe /preload [ 2012-07-16] (Samsung) HKU\Imperator\...\Run: [KiesAirMessage] - C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup [x] HKU\Imperator\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [ 2013-04-19] (Skype Technologies S.A.) HKU\Imperator\...\Command Processor: "C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe" <===== ATTENTION! Startup: C:\Users\All Users\Start Menu\Programs\Startup\Launcher.lnk ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe () Startup: C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk ShortcutTarget: Dropbox.lnk -> (No File) ========================== Services (Whitelisted) ================= S2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-08-13] () S2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION) S2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION) S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation) S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation) S2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [537592 2012-08-03] (Cisco Systems, Inc.) ==================== Drivers (Whitelisted) ==================== S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [87976 2012-08-03] (Cisco Systems, Inc.) S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation) S1 jmopyvlk; \??\C:\Windows\system32\drivers\jmopyvlk.sys [x] S1 jzoyioxf; \??\C:\Windows\system32\drivers\jzoyioxf.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-07-13 02:37 - 2013-07-13 12:48 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0 2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST 2013-07-13 00:13 - 2013-07-13 10:52 - 00008133 _____ C:\Windows\WindowsUpdate.log 2013-07-12 22:59 - 2013-07-13 10:52 - 00196608 _____ C:\Windows\System32\Ikeext.etl 2013-07-12 22:58 - 2013-07-13 10:49 - 00000560 _____ C:\Windows\setupact.log 2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview 2013-07-09 10:29 - 2013-07-09 10:29 - 00163072 _____ C:\Users\All Users\2433f433 2013-07-09 10:29 - 2013-07-09 10:29 - 00163054 _____ C:\Users\Imperator\AppData\Local\2433f433 2013-07-09 10:29 - 2013-07-09 10:29 - 00162998 _____ C:\Users\Imperator\AppData\Roaming\2433f433 2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-06-27 10:29 - 2013-06-27 10:30 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern 2013-06-22 08:10 - 2013-06-02 16:21 - 73381792 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe 2013-06-20 21:17 - 2013-07-13 10:49 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics ==================== One Month Modified Files and Folders ======= 2013-07-13 12:48 - 2013-07-13 02:37 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0 2013-07-13 10:52 - 2013-07-13 00:13 - 00008133 _____ C:\Windows\WindowsUpdate.log 2013-07-13 10:52 - 2013-07-12 22:59 - 00196608 _____ C:\Windows\System32\Ikeext.etl 2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2013-07-13 10:49 - 2013-07-12 22:58 - 00000560 _____ C:\Windows\setupact.log 2013-07-13 10:49 - 2013-06-20 21:17 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics 2013-07-13 01:00 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\tracing 2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST 2013-07-09 15:48 - 2012-08-06 20:47 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service 2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview 2013-07-09 10:29 - 2013-07-09 10:29 - 00163072 _____ C:\Users\All Users\2433f433 2013-07-09 10:29 - 2013-07-09 10:29 - 00163054 _____ C:\Users\Imperator\AppData\Local\2433f433 2013-07-09 10:29 - 2013-07-09 10:29 - 00162998 _____ C:\Users\Imperator\AppData\Roaming\2433f433 2013-07-09 10:14 - 2012-08-09 13:00 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Skype 2013-07-06 09:48 - 2012-08-09 12:46 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Dropbox 2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-07-02 15:30 - 2012-05-01 14:05 - 00000000 ____D C:\Users\Imperator\Desktop\Sevilla 2013-07-02 08:36 - 2012-08-06 19:43 - 01498506 _____ C:\Windows\System32\PerfStringBackup.INI 2013-07-02 08:31 - 2012-08-09 12:53 - 00000000 ___RD C:\Users\Imperator\Dropbox 2013-06-27 10:30 - 2013-06-27 10:29 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern 2013-06-25 08:40 - 2009-07-14 03:37 - 00000000 __RHD C:\Users\Public\Libraries 2013-06-24 22:47 - 2012-08-13 16:29 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\ALDITALKVerbindungsassistent 2013-06-23 16:18 - 2013-01-05 20:48 - 00010348 _____ C:\Users\Imperator\Desktop\Spielzeugausgaben2013.xlsx 2013-06-13 12:29 - 2012-12-25 16:11 - 00000000 ____D C:\Users\All Users\Microsoft Help Files to move or delete: ==================== C:\ProgramData\7909034.pad ==================== Known DLLs (Whitelisted) ============ ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys [2012-12-12 14:48] - [2012-09-06 17:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ==================== Restore Points ========================= ==================== Memory info =========================== Percentage of memory in use: 11% Total physical RAM: 4051.17 MB Available physical RAM: 3569.32 MB Total Pagefile: 4049.45 MB Available Pagefile: 3577.39 MB Total Virtual: 2047.88 MB Available Virtual: 1944.07 MB ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:148.93 GB) (Free:16.98 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive e: () (Removable) (Total:3.73 GB) (Free:2.63 GB) FAT32 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 98DEB064) Partition 1: (Not Active) - (Size=125 MB) - (Type=DE) Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18) Partition 1: (Active) - (Size=4 GB) - (Type=0B) LastRegBack: 2013-06-24 22:41 ==================== End Of Log ============================ |
13.07.2013, 11:20 | #2 |
/// the machine /// TB-Ausbilder | GVU-Trojaner beendet abgesicherten Modus Hi,
__________________Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKU\Imperator\...\Command Processor: "C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe" <===== ATTENTION! S1 jmopyvlk; \??\C:\Windows\system32\drivers\jmopyvlk.sys [x] S1 jzoyioxf; \??\C:\Windows\system32\drivers\jzoyioxf.sys [x] 2013-07-09 10:29 - 2013-07-09 10:29 - 00163072 _____ C:\Users\All Users\2433f433 2013-07-09 10:29 - 2013-07-09 10:29 - 00163054 _____ C:\Users\Imperator\AppData\Local\2433f433 2013-07-09 10:29 - 2013-07-09 10:29 - 00162998 _____ C:\Users\Imperator\AppData\Roaming\2433f433 C:\ProgramData\7909034.pad C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe C:\Windows\system32\drivers\jmopyvlk.sys C:\Windows\system32\drivers\jzoyioxf.sys
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier. neu booten
__________________ |
13.07.2013, 11:52 | #3 |
| GVU-Trojaner beendet abgesicherten Modus Hallo.
__________________Ausgeführt, neugestartet, leider ist der GVU Bildschirm immer noch da Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 12-07-2013 02 Ran by SYSTEM at 2013-07-13 12:50:37 Run:4 Running from E:\ Boot Mode: Recovery ============================================== HKU\Imperator\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully. jmopyvlk => Service deleted successfully. jzoyioxf => Service deleted successfully. C:\Users\All Users\2433f433 => Moved successfully. C:\Users\Imperator\AppData\Local\2433f433 => Moved successfully. C:\Users\Imperator\AppData\Roaming\2433f433 => Moved successfully. C:\ProgramData\7909034.pad => Moved successfully. "C:\Users\IMPERA~1\AppData\Local\Temp\ydkveiyjeavjlepgv.exe" => File/Directory not found. "C:\Windows\system32\drivers\jmopyvlk.sys" => File/Directory not found. "C:\Windows\system32\drivers\jzoyioxf.sys" => File/Directory not found. ==== End of Fixlog ==== |
13.07.2013, 15:04 | #4 |
/// the machine /// TB-Ausbilder | GVU-Trojaner beendet abgesicherten Modus What? Poste mal ein frisches Scanlog aus der Recovery.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
13.07.2013, 22:50 | #5 |
| GVU-Trojaner beendet abgesicherten Modus Also hier die Logfile Bin schon richtig verzweifelt :-( FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 12-07-2013 02 Ran by SYSTEM on 13-07-2013 23:47:58 Running from E:\ Windows 7 Professional (X86) OS Language: German Standard Internet Explorer Version 9 Boot Mode: Recovery The current controlset is ControlSet004 ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log. ==================== Registry (Whitelisted) ================== HKLM\...\Run: [MSC] - "c:\Program Files\Microsoft Security Client\mssecex.exe" -hide -runkey [x] HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-07-16] (Samsung Electronics Co., Ltd.) HKLM\...\Run: [EEventManager] - "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [976320 2009-12-03] (SEIKO EPSON CORPORATION) HKLM\...\Run: [TrojanScanner] - C:\Program Files\Trojan Remover\Trjscan.exe /boot [1247504 2012-09-14] (Simply Super Software) HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.) HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [685048 2012-08-03] (Cisco Systems, Inc.) HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation) HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation) HKU\Imperator\...\Run: [KiesPreload] - C:\Program Files\Samsung\Kies\Kies.exe /preload [ 2012-07-16] (Samsung) HKU\Imperator\...\Run: [KiesAirMessage] - C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup [x] HKU\Imperator\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [ 2013-04-19] (Skype Technologies S.A.) Startup: C:\Users\All Users\Start Menu\Programs\Startup\Launcher.lnk ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe () Startup: C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk ShortcutTarget: Dropbox.lnk -> (No File) ========================== Services (Whitelisted) ================= S2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-08-13] () S2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION) S2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION) S2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation) S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation) S2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [537592 2012-08-03] (Cisco Systems, Inc.) ==================== Drivers (Whitelisted) ==================== S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [87976 2012-08-03] (Cisco Systems, Inc.) S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation) ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-07-13 02:37 - 2013-07-13 12:48 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0 2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST 2013-07-13 00:13 - 2013-07-13 10:52 - 00008133 _____ C:\Windows\WindowsUpdate.log 2013-07-12 22:59 - 2013-07-13 11:53 - 00196608 _____ C:\Windows\System32\Ikeext.etl 2013-07-12 22:58 - 2013-07-13 11:51 - 00000616 _____ C:\Windows\setupact.log 2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview 2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-06-27 10:29 - 2013-06-27 10:30 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern 2013-06-22 08:10 - 2013-06-02 16:21 - 73381792 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe 2013-06-20 21:17 - 2013-07-13 11:51 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics ==================== One Month Modified Files and Folders ======= 2013-07-13 12:48 - 2013-07-13 02:37 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0 2013-07-13 11:53 - 2013-07-12 22:59 - 00196608 _____ C:\Windows\System32\Ikeext.etl 2013-07-13 11:51 - 2013-07-12 22:58 - 00000616 _____ C:\Windows\setupact.log 2013-07-13 11:51 - 2013-06-20 21:17 - 00000437 _____ C:\Windows\System32\Drivers\etc\hosts.ics 2013-07-13 10:52 - 2013-07-13 00:13 - 00008133 _____ C:\Windows\WindowsUpdate.log 2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2013-07-13 10:52 - 2009-07-14 05:34 - 00013456 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2013-07-13 01:00 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\tracing 2013-07-13 00:32 - 2013-07-13 00:32 - 00000000 ____D C:\FRST 2013-07-09 15:48 - 2012-08-06 20:47 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service 2013-07-09 10:30 - 2013-07-09 10:30 - 00000000 ____D C:\Windows\System32\SPReview 2013-07-09 10:14 - 2012-08-09 13:00 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Skype 2013-07-06 09:48 - 2012-08-09 12:46 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Dropbox 2013-07-02 21:40 - 2013-07-02 21:40 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-07-02 15:30 - 2012-05-01 14:05 - 00000000 ____D C:\Users\Imperator\Desktop\Sevilla 2013-07-02 08:36 - 2012-08-06 19:43 - 01498506 _____ C:\Windows\System32\PerfStringBackup.INI 2013-07-02 08:31 - 2012-08-09 12:53 - 00000000 ___RD C:\Users\Imperator\Dropbox 2013-06-27 10:30 - 2013-06-27 10:29 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern 2013-06-25 08:40 - 2009-07-14 03:37 - 00000000 __RHD C:\Users\Public\Libraries 2013-06-24 22:47 - 2012-08-13 16:29 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\ALDITALKVerbindungsassistent 2013-06-23 16:18 - 2013-01-05 20:48 - 00010348 _____ C:\Users\Imperator\Desktop\Spielzeugausgaben2013.xlsx 2013-06-13 12:29 - 2012-12-25 16:11 - 00000000 ____D C:\Users\All Users\Microsoft Help ==================== Known DLLs (Whitelisted) ============ ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys [2012-12-12 14:48] - [2012-09-06 17:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ==================== Restore Points ========================= ==================== Memory info =========================== Percentage of memory in use: 11% Total physical RAM: 4051.17 MB Available physical RAM: 3572.44 MB Total Pagefile: 4049.45 MB Available Pagefile: 3573.77 MB Total Virtual: 2047.88 MB Available Virtual: 1936.07 MB ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:148.93 GB) (Free:16.98 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive e: () (Removable) (Total:3.73 GB) (Free:2.63 GB) FAT32 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 98DEB064) Partition 1: (Not Active) - (Size=125 MB) - (Type=DE) Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18) Partition 1: (Active) - (Size=4 GB) - (Type=0B) LastRegBack: 2013-06-24 22:41 ==================== End Of Log ============================ |
14.07.2013, 12:34 | #6 |
/// the machine /// TB-Ausbilder | GVU-Trojaner beendet abgesicherten Modus Der Sperrbildschirm kommt immer noch? Das Log ist total sauber. Versuchs nochmal, versuch auch die 3 abgesicherten Modi.
__________________ --> GVU-Trojaner beendet abgesicherten Modus |
14.07.2013, 12:48 | #7 |
| GVU-Trojaner beendet abgesicherten Modus Ich versteh die Welt nicht mehr Startbildschirm kam nicht, nur GVU, hab neugestartet um einen abgesicherten Modus auszuprobieren, ging nicht, er hat neugestartet und auf einmal bin ich auf dem Desktop Okay... Wie geht es weiter? |
14.07.2013, 12:55 | #8 |
/// the machine /// TB-Ausbilder | GVU-Trojaner beendet abgesicherten Modus Wollt auch schon sagen Downloade Dir bitte AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
14.07.2013, 15:10 | #9 |
| GVU-Trojaner beendet abgesicherten Modus Hallo AdwCleaner Code:
ATTFilter # AdwCleaner v2.304 - Datei am 14/07/2013 um 15:45:46 erstellt # Aktualisiert am 03/07/2013 von Xplode # Betriebssystem : Windows 7 Professional (32 bits) # Benutzer : Imperator - IMPERATOR-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\Imperator\Downloads\adwcleaner_2.3.0.4.exe # Option [Löschen] **** [Dienste] **** Gestoppt & Gelöscht : WajamUpdater ***** [Dateien / Ordner] ***** Datei Gelöscht : C:\Windows\Tasks\DSite.job Ordner Gelöscht : C:\Program Files\Wajam Ordner Gelöscht : C:\Users\Imperator\AppData\Local\Wajam Ordner Gelöscht : C:\Users\Imperator\AppData\Roaming\DSite Ordner Gelöscht : C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Crossrider Schlüssel Gelöscht : HKCU\Software\InstallCore Schlüssel Gelöscht : HKCU\Software\InstalledBrowserExtensions Schlüssel Gelöscht : HKCU\Software\Wajam Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\secman.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110311341126} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220322342226} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.BHO Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.BHO.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.Sandbox Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CrossriderApp0033426.Sandbox.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550355345526} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660366346626} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440344344426} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110311341126} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110311341126} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam Schlüssel Gelöscht : HKLM\Software\Wajam Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WajamUpdater Wert Gelöscht : HKCU\Software\Mozilla\Firefox\Extensions [{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}] ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16476 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v22.0 (de) Datei : C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\prefs.js C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\user.js ... Gelöscht ! Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...] Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...] Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...] Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...] Gelöscht : user_pref("extensions.a7125a2857e6847aa9d72e81874f4d47ed3fcdb92135d4a8a8cf611e3b57c5fdacom33426.3342[...] Gelöscht : user_pref("extensions.wajam.affiliate_id", "6447"); Gelöscht : user_pref("extensions.wajam.firstrun", "false"); Gelöscht : user_pref("extensions.wajam.log_send_info", "false"); Gelöscht : user_pref("extensions.wajam.mappingListJsonString", "{\"version\":\"0.21087\",\"supported_sites\":{\[...] Gelöscht : user_pref("extensions.wajam.no_trace", "false"); Gelöscht : user_pref("extensions.wajam.server_current_mapping_version", "0.21087"); Gelöscht : user_pref("extensions.wajam.supported_sites.encryptedgoogle.wajam_google_js", "try {window['APP_LABE[...] Gelöscht : user_pref("extensions.wajam.supported_sites.google.wajam_google_se_js", "try {window['APP_LABEL_NAME[...] Gelöscht : user_pref("extensions.wajam.trace_log", "1373809131940 - processSiteLookup - Looking for a pattern m[...] Gelöscht : user_pref("extensions.wajam.unique_id", "BB136028FC4016E37E8421335E36CC6F"); Gelöscht : user_pref("extensions.wajam.user_current_mapping_version", "0"); Gelöscht : user_pref("extensions.wajam.version", "1.26"); -\\ Google Chrome v28.0.1500.72 Datei : C:\Users\Imperator\AppData\Local\Google\Chrome\User Data\Default\Preferences [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [6486 octets] - [14/07/2013 15:44:35] AdwCleaner[S1].txt - [6533 octets] - [14/07/2013 15:45:46] ########## EOF - C:\AdwCleaner[S1].txt - [6593 octets] ########## Alles andere klappte Problemlos FRST FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-07-2013 Ran by Imperator (administrator) on 14-07-2013 16:04:47 Running from C:\Users\Imperator\Downloads Microsoft Windows 7 Professional (X86) OS Language: German Standard Internet Explorer Version 9 Boot Mode: Normal ==================== Processes (Whitelisted) =================== (Microsoft Corporation) c:\Program Files\Microsoft Security Client\MsMpEng.exe (Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe () C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe (SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE (SEIKO EPSON CORPORATION) C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE (Microsoft Corporation) c:\Program Files\Microsoft Security Client\NisSrv.exe (Adobe Systems Incorporated) C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Samsung Electronics Co., Ltd.) C:\Program Files\Samsung\Kies\KiesTrayAgent.exe (SEIKO EPSON CORPORATION) C:\Program Files\Epson Software\Event Manager\EEventManager.exe (Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe (Cisco Systems, Inc.) C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (Samsung) C:\Program Files\Samsung\Kies\Kies.exe (Skype Technologies S.A.) C:\Program Files\Skype\Phone\Skype.exe () C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe (Dropbox, Inc.) C:\Users\Imperator\AppData\Roaming\Dropbox\bin\Dropbox.exe (Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe (Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe (Adobe Systems, Inc.) C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe (Microsoft Corporation) C:\Windows\system32\wuauclt.exe (Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jucheck.exe (Microsoft Corporation) c:\Program Files\Microsoft Security Client\MpCmdRun.exe (Microsoft Corporation) c:\Program Files\Microsoft Security Client\MpCmdRun.exe (Microsoft Corporation) c:\Program Files\Microsoft Security Client\MpCmdRun.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [MSC] - "c:\Program Files\Microsoft Security Client\mssecex.exe" -hide -runkey [x] HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [KiesTrayAgent] - C:\Program Files\Samsung\Kies\KiesTrayAgent.exe [3524536 2012-07-16] (Samsung Electronics Co., Ltd.) HKLM\...\Run: [EEventManager] - "C:\Program Files\Epson Software\Event Manager\EEventManager.exe" [976320 2009-12-03] (SEIKO EPSON CORPORATION) HKLM\...\Run: [TrojanScanner] - C:\Program Files\Trojan Remover\Trjscan.exe /boot [1247504 2012-09-14] (Simply Super Software) HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.) HKLM\...\Run: [Cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized [685048 2012-08-03] (Cisco Systems, Inc.) HKCU\...\Run: [KiesPreload] - C:\Program Files\Samsung\Kies\Kies.exe /preload [975800 2012-07-16] (Samsung) HKCU\...\Run: [KiesAirMessage] - C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup [x] HKCU\...\Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [18678376 2013-04-19] (Skype Technologies S.A.) HKCU\...\Winlogon: [Shell] explorer.exe <==== ATTENTION HKCU\...\Command Processor: <======= ATTENTION MountPoints2: E - E:\.\Setup.exe AUTORUN=1 MountPoints2: F - F:\.\Setup.exe AUTORUN=1 MountPoints2: {3bec7d41-e1a6-11e1-a3b3-0023ae38166a} - E:\AutoRun.exe MountPoints2: {3bec7d45-e1a6-11e1-a3b3-0023ae38166a} - E:\AutoRun.exe MountPoints2: {7a130d3d-dd6b-11e2-9caf-0023ae38166a} - E:\.\Setup.exe AUTORUN=1 MountPoints2: {7f6b03bc-e3b9-11e1-adc3-0023ae38166a} - E:\AutoRun.exe MountPoints2: {7f6b03bf-e3b9-11e1-adc3-0023ae38166a} - E:\AutoRun.exe MountPoints2: {8ffdfa18-e1b8-11e1-9cb0-0023ae38166a} - E:\AutoRun.exe MountPoints2: {8ffdfa1b-e1b8-11e1-9cb0-0023ae38166a} - E:\AutoRun.exe MountPoints2: {9301a00d-e55a-11e1-ae2b-0023ae38166a} - E:\.\Setup.exe AUTORUN=1 MountPoints2: {9301a025-e55a-11e1-ae2b-0023ae38166a} - E:\.\Setup.exe AUTORUN=1 MountPoints2: {c5f034fb-986b-11e2-8588-001e101f24f1} - E:\LaunchU3.exe -a MountPoints2: {c5f03537-986b-11e2-8588-001e101f24f1} - E:\.\Setup.exe AUTORUN=1 MountPoints2: {d6ac2cf0-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe MountPoints2: {d6ac2d24-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe MountPoints2: {d6ac2dc3-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe MountPoints2: {d6ac2dc7-e26a-11e1-9c64-0023ae38166a} - E:\AutoRun.exe MountPoints2: {db10ea30-dff2-11e1-8b92-806e6f6e6963} - D:\setup.exe /AUTORUN Startup: C:\ProgramData\Start Menu\Programs\Startup\Launcher.lnk ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe () Startup: C:\Users\Imperator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk ShortcutTarget: Dropbox.lnk -> C:\Users\Imperator\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) BHO: Super Lyrics - {B9020890-9E08-446B-87B0-0C5CD0436D86} - C:\Program Files\Super_Lyrics\120.dll (Super Add-on Software) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) Toolbar: HKLM - Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) Handler: msdaipp - No CLSID Value - Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 Tcpip\..\Interfaces\{8F6B1ED2-9882-4D75-ACFE-220D3C0E9113}: [NameServer]212.23.115.148,212.23.115.132 FireFox: ======== FF ProfilePath: C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default FF Homepage: hxxp://de.yahoo.com/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll () FF Plugin: @java.com/DTPlugin,version=10.9.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.9.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @microsoft.com/GENUINE - disabled No File FF Plugin: @microsoft.com/OfficeLive,version=1.5 - C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @videolan.org/vlc,version=2.0.3 - C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN) FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Extension: No Name - C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\Extensions\7125a285-7e68-47aa-9d72-e81874f4d47e@d3fcdb92-135d-4a8a-8cf6-11e3b57c5fda.com FF Extension: Yahoo! Toolbar - C:\Users\Imperator\AppData\Roaming\Mozilla\Firefox\Profiles\2lvqmbxf.default\Extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF HKCU\...\Firefox\Extensions: [{F7EC2BAD-F77B-4020-B3C6-58B97D0859E5}] C:\Program Files\Super_Lyrics\120.xpi FF Extension: No Name - C:\Program Files\Super_Lyrics\120.xpi Chrome: ======= CHR Extension: (Plus-HD-2.3) - C:\Users\IMPERA~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\omfoidjpeklpjhlhabhcomekbkclkbec\1.23.17_0 ========================== Services (Whitelisted) ================= R2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-08-13] () R2 EPSON_EB_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50ST7.EXE [153600 2009-09-14] (SEIKO EPSON CORPORATION) R2 EPSON_PM_RPCV4_04; C:\Program Files\Common Files\EPSON\EPW!3 SSRP\E_S50RP7.EXE [121856 2009-09-14] (SEIKO EPSON CORPORATION) R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [20456 2013-01-27] (Microsoft Corporation) R3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [295232 2013-01-27] (Microsoft Corporation) R2 vpnagent; C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [537592 2012-08-03] (Cisco Systems, Inc.) ==================== Drivers (Whitelisted) ==================== S3 acsock; C:\Windows\System32\DRIVERS\acsock.sys [87976 2012-08-03] (Cisco Systems, Inc.) R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [195296 2013-01-20] (Microsoft Corporation) ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-07-14 16:03 - 2013-07-14 16:04 - 01218214 _____ (Farbar) C:\Users\Imperator\Downloads\FRST.exe 2013-07-14 15:52 - 2013-07-14 15:52 - 00559306 _____ (Oleg N. Scherbakov) C:\Users\Imperator\Desktop\JRT07.exe 2013-07-14 15:45 - 2013-07-14 15:46 - 00006662 _____ C:\AdwCleaner[S1].txt 2013-07-14 15:44 - 2013-07-14 15:45 - 00006486 _____ C:\AdwCleaner[R1].txt 2013-07-14 15:41 - 2013-07-14 15:42 - 00650027 _____ C:\Users\Imperator\Downloads\adwcleaner_2.3.0.4.exe 2013-07-14 14:28 - 2013-07-14 15:48 - 00001194 _____ C:\Windows\Tasks\Plus-HD-2.3-codedownloader.job 2013-07-14 14:28 - 2013-07-14 15:48 - 00001190 _____ C:\Windows\Tasks\Plus-HD-2.3-updater.job 2013-07-14 14:28 - 2013-07-14 15:48 - 00001094 _____ C:\Windows\Tasks\Plus-HD-2.3-enabler.job 2013-07-14 14:27 - 2013-07-14 15:48 - 00001890 _____ C:\Windows\Tasks\Plus-HD-2.3-chromeinstaller.job 2013-07-14 14:27 - 2013-07-14 15:48 - 00001814 _____ C:\Windows\Tasks\Plus-HD-2.3-firefoxinstaller.job 2013-07-14 14:27 - 2013-07-14 15:48 - 00000384 _____ C:\Windows\Tasks\Super Lyrics Update.job 2013-07-14 14:27 - 2013-07-14 14:28 - 00000000 ____D C:\Program Files\Plus-HD-2.3 2013-07-14 14:27 - 2013-07-14 14:27 - 00001030 _____ C:\Users\Public\Desktop\Open It!.lnk 2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Zip Opener Packages 2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\Super_Lyrics 2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\OpenIt 2013-07-14 14:25 - 2013-07-14 14:25 - 00793536 _____ C:\Users\Imperator\Downloads\ZipOpenerSetup.exe 2013-07-13 03:37 - 2013-07-13 13:48 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0 2013-07-13 01:32 - 2013-07-13 01:32 - 00000000 ____D C:\FRST 2013-07-13 01:13 - 2013-07-14 15:59 - 00089345 _____ C:\Windows\WindowsUpdate.log 2013-07-12 23:59 - 2013-07-14 15:48 - 00065536 _____ C:\Windows\system32\Ikeext.etl 2013-07-12 23:58 - 2013-07-14 15:48 - 00000840 _____ C:\Windows\setupact.log 2013-07-09 11:30 - 2013-07-09 11:30 - 00000000 ____D C:\Windows\system32\SPReview 2013-07-02 22:40 - 2013-07-02 22:40 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-06-27 11:29 - 2013-06-27 11:30 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern 2013-06-22 09:10 - 2013-06-02 17:21 - 73381792 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe 2013-06-20 22:17 - 2013-07-14 15:48 - 00000437 _____ C:\Windows\system32\Drivers\etc\hosts.ics ==================== One Month Modified Files and Folders ======= 2013-07-14 16:04 - 2013-07-14 16:03 - 01218214 _____ (Farbar) C:\Users\Imperator\Downloads\FRST.exe 2013-07-14 16:01 - 2013-07-13 01:13 - 00089345 _____ C:\Windows\WindowsUpdate.log 2013-07-14 15:55 - 2009-07-14 06:34 - 00013456 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2013-07-14 15:55 - 2009-07-14 06:34 - 00013456 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2013-07-14 15:54 - 2012-08-06 20:43 - 01498506 _____ C:\Windows\system32\PerfStringBackup.INI 2013-07-14 15:53 - 2012-08-06 20:28 - 00000000 ___RD C:\Users\Imperator\Desktop 2013-07-14 15:52 - 2013-07-14 15:52 - 00559306 _____ (Oleg N. Scherbakov) C:\Users\Imperator\Desktop\JRT07.exe 2013-07-14 15:49 - 2012-08-09 13:53 - 00000000 ___RD C:\Users\Imperator\Dropbox 2013-07-14 15:49 - 2012-08-09 13:46 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Dropbox 2013-07-14 15:48 - 2013-07-14 14:28 - 00001194 _____ C:\Windows\Tasks\Plus-HD-2.3-codedownloader.job 2013-07-14 15:48 - 2013-07-14 14:28 - 00001190 _____ C:\Windows\Tasks\Plus-HD-2.3-updater.job 2013-07-14 15:48 - 2013-07-14 14:28 - 00001094 _____ C:\Windows\Tasks\Plus-HD-2.3-enabler.job 2013-07-14 15:48 - 2013-07-14 14:27 - 00001890 _____ C:\Windows\Tasks\Plus-HD-2.3-chromeinstaller.job 2013-07-14 15:48 - 2013-07-14 14:27 - 00001814 _____ C:\Windows\Tasks\Plus-HD-2.3-firefoxinstaller.job 2013-07-14 15:48 - 2013-07-14 14:27 - 00000384 _____ C:\Windows\Tasks\Super Lyrics Update.job 2013-07-14 15:48 - 2013-07-12 23:59 - 00065536 _____ C:\Windows\system32\Ikeext.etl 2013-07-14 15:48 - 2013-07-12 23:58 - 00000840 _____ C:\Windows\setupact.log 2013-07-14 15:48 - 2013-06-20 22:17 - 00000437 _____ C:\Windows\system32\Drivers\etc\hosts.ics 2013-07-14 15:48 - 2012-08-25 00:25 - 00001100 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2013-07-14 15:48 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2013-07-14 15:47 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\tracing 2013-07-14 15:46 - 2013-07-14 15:45 - 00006662 _____ C:\AdwCleaner[S1].txt 2013-07-14 15:45 - 2013-07-14 15:44 - 00006486 _____ C:\AdwCleaner[R1].txt 2013-07-14 15:42 - 2013-07-14 15:41 - 00650027 _____ C:\Users\Imperator\Downloads\adwcleaner_2.3.0.4.exe 2013-07-14 15:41 - 2012-08-25 00:25 - 00001104 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2013-07-14 15:35 - 2012-08-26 00:23 - 00002998 _____ C:\Windows\PFRO.log 2013-07-14 14:28 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\Plus-HD-2.3 2013-07-14 14:27 - 2013-07-14 14:27 - 00001030 _____ C:\Users\Public\Desktop\Open It!.lnk 2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Zip Opener Packages 2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\Super_Lyrics 2013-07-14 14:27 - 2013-07-14 14:27 - 00000000 ____D C:\Program Files\OpenIt 2013-07-14 14:27 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Desktop 2013-07-14 14:25 - 2013-07-14 14:25 - 00793536 _____ C:\Users\Imperator\Downloads\ZipOpenerSetup.exe 2013-07-14 14:22 - 2012-08-09 14:00 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\Skype 2013-07-14 14:19 - 2013-04-21 16:27 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job 2013-07-14 14:18 - 2009-07-14 06:53 - 00032630 _____ C:\Windows\Tasks\SCHEDLGU.TXT 2013-07-13 13:48 - 2013-07-13 03:37 - 00000000 ____D C:\Kaspersky Rescue Disk 10.0 2013-07-13 01:32 - 2013-07-13 01:32 - 00000000 ____D C:\FRST 2013-07-09 16:48 - 2012-08-06 21:47 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service 2013-07-09 11:30 - 2013-07-09 11:30 - 00000000 ____D C:\Windows\system32\SPReview 2013-07-02 22:40 - 2013-07-02 22:40 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-07-02 16:30 - 2012-05-01 15:05 - 00000000 ____D C:\Users\Imperator\Desktop\Sevilla 2013-06-27 11:30 - 2013-06-27 11:29 - 00000000 ____D C:\Users\Imperator\Desktop\keine angst vor röntgenbildern 2013-06-25 09:40 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Libraries 2013-06-24 23:47 - 2012-08-13 17:29 - 00000000 ____D C:\Users\Imperator\AppData\Roaming\ALDITALKVerbindungsassistent 2013-06-23 17:18 - 2013-01-05 21:48 - 00010348 _____ C:\Users\Imperator\Desktop\Spielzeugausgaben2013.xlsx ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys [2012-12-12 15:48] - [2012-09-06 18:48] - 0245616 ____A (Microsoft Corporation) 59F06B4968E58BC83DFC56CA4517960E LastRegBack: 2013-06-24 23:41 ==================== End Of Log ============================ Addition Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x86) Version: 14-07-2013 Ran by Imperator at 2013-07-14 16:06:39 Running from C:\Users\Imperator\Downloads Boot Mode: Normal ========================================================== Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) Adobe Flash Player 11 Plugin (Version: 11.7.700.224) Adobe Reader X (10.1.3) - Deutsch (Version: 10.1.3) ALDI TALK Verbindungsassistent (Version: ALDI TALK 4.0) Cisco AnyConnect Secure Mobility Client (Version: 3.1.00495) Cisco AnyConnect Secure Mobility Client (Version: 3.1.00495) Dropbox (HKCU Version: 2.0.22) Druckerdeinstallation für EPSON BX525WD Series EPSON BX525WD Series Handbuch EPSON BX525WD Series Netzwerk-Handbuch Epson Easy Photo Print 2 (Version: 2.2.3.0) Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser) (Version: 1.00.0000) Epson Event Manager (Version: 2.40.0001) EPSON Scan EpsonNet Print (Version: 2.4i) EpsonNet Setup 3.3 (Version: 3.3a) Free Solitaire (Version: 5.0) Google Chrome (Version: 28.0.1500.72) Google Update Helper (Version: 1.3.21.145) Java 7 Update 9 (Version: 7.0.90) Java Auto Updater (Version: 2.1.9.0) Malwarebytes Anti-Malware Version 1.75.0.1300 (Version: 1.75.0.1300) Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme (Version: 12.0.4518.1014) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319) Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319) Microsoft Office 2007 Service Pack 3 (SP3) Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000) Microsoft Office Live Add-in 1.5 (Version: 2.0.4024.1) Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.6612.1000) Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000) Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000) Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000) Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000) Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000) Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.6612.1000) Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000) Microsoft Office Small Business 2007 (Version: 12.0.6612.1000) Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000) Microsoft Security Client (Version: 4.2.0223.1) Microsoft Security Essentials (Version: 4.2.223.1) Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001) Mozilla Firefox 22.0 (x86 de) (Version: 22.0) Mozilla Maintenance Service (Version: 22.0) Open It! (Version: 1.1.1) Plus-HD-2.3 (Version: 1.27.153.8) RICOH R5U8xx Media Driver ver.3.62.02 (Version: 3.62.02) Samsung Kies (Version: 2.3.2.12064_10) SAMSUNG USB Driver for Mobile Phones (Version: 1.5.6.0) Skype™ 6.3 (Version: 6.3.107) Super Lyrics Trojan Remover 6.8.5 (Version: 6.8.5) TuxGuitar (Version: 1.2) Update for 2007 Microsoft Office System (KB967642) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1) Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition Update for Microsoft Office 2007 suites (KB2596660) 32-Bit Edition Update for Microsoft Office 2007 suites (KB2596802) 32-Bit Edition Update for Microsoft Office 2007 suites (KB2596848) 32-Bit Edition Update for Microsoft Office 2007 suites (KB2687493) 32-Bit Edition Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2817327) 32-Bit Edition Update for Zip Opener Update für Microsoft Office Excel 2007 Help (KB963678) Update für Microsoft Office Outlook 2007 Help (KB963677) Update für Microsoft Office Powerpoint 2007 Help (KB963669) Update für Microsoft Office Word 2007 Help (KB963665) VLC media player 2.0.3 (Version: 2.0.3) WinRAR 4.20 (32-Bit) (Version: 4.20.0) Zip Opener Packages ==================== Restore Points ========================= ==================== Hosts content: ========================== 2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts ==================== Scheduled Tasks (whitelisted) ============= Task: {2D33C780-4C2C-4F3F-96B8-9D8D69805D3F} - System32\Tasks\Plus-HD-2.3-updater => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-updater.exe [2013-07-14] (Plus HD) Task: {3886134A-6307-4C0A-8B76-9DC9DFA0E90F} - System32\Tasks\{374C58DD-EFAC-40A5-B252-8B9C5269386C} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File Task: {44A81215-20E4-426B-B8A3-AE970AC19E59} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2012-08-25] (Google Inc.) Task: {453DF71F-546A-4C86-8D77-0A0AB9A21F78} - System32\Tasks\{3A5ECE49-7590-42A0-AFF5-E04591A24B8B} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File Task: {4859794A-052E-4E22-ABC7-83E071E1D4C4} - System32\Tasks\{55A85D38-CD9A-468C-B8C4-C26D35B0EF38} => C:\Program Files\Microsoft OfficeXP\Office10\WINWORD.EXE No File Task: {5D405C98-2237-4DD1-8E93-C74F10DDBB2A} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => c:\Program Files\Microsoft Security Client\MpCmdRun.exe [2013-01-27] (Microsoft Corporation) Task: {9EA492FB-7FC0-4BD0-8F85-A907E2C393AF} - System32\Tasks\{A0C33EBB-ABFB-4C97-B9AF-1D6446C88138} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File Task: {A42F8021-F73D-4B06-B134-B165A9595328} - System32\Tasks\{8522E741-187D-4790-BB67-31B34A4628B4} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File Task: {AE8C63B8-96F4-4490-991E-8123ED3700B0} - System32\Tasks\Plus-HD-2.3-codedownloader => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-codedownloader.exe [2013-07-14] (Plus HD) Task: {B17F36D0-5FC4-41E1-97AD-70571A757E13} - System32\Tasks\Plus-HD-2.3-firefoxinstaller => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-firefoxinstaller.exe [2013-07-14] (Plus HD) Task: {D642AE62-673F-403E-820B-99443CC4A0BB} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2012-08-25] (Google Inc.) Task: {E25A4047-C4FF-4BAC-BFE6-252A3F3F0C73} - System32\Tasks\{22805D67-FC30-462E-B183-689FAFAC7195} => C:\Program Files\T-Mobile\T-Mobile Internet Manager\T-Mobile Internet Manager.exe No File Task: {E372F02D-4583-488A-8CA0-DC3B29091BDD} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe [2010-08-04] (Microsoft Corporation) Task: {EF1F8B8A-C333-492E-9385-A6BA425F5FBB} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-11] (Adobe Systems Incorporated) Task: {F0DE367D-1429-4BB8-B8F1-49E1FEB3B00C} - System32\Tasks\Super Lyrics Update => C:\Program Files\Super_Lyrics\SuperLupdater.exe [2013-07-08] (Super Add-on Software) Task: {F504AD3D-3E51-49F5-A725-E5CB3A966C4B} - System32\Tasks\Plus-HD-2.3-enabler => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-enabler.exe [2013-07-14] (Plus HD) Task: {FE20EDC4-D6CA-4AE8-8504-8222FB040032} - System32\Tasks\Plus-HD-2.3-chromeinstaller => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-chromeinstaller.exe [2013-07-14] (Plus HD) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Plus-HD-2.3-chromeinstaller.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-chromeinstaller.exe Task: C:\Windows\Tasks\Plus-HD-2.3-codedownloader.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-codedownloader.exe Task: C:\Windows\Tasks\Plus-HD-2.3-enabler.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-enabler.exe Task: C:\Windows\Tasks\Plus-HD-2.3-firefoxinstaller.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-firefoxinstaller.exe Task: C:\Windows\Tasks\Plus-HD-2.3-updater.job => C:\Program Files\Plus-HD-2.3\Plus-HD-2.3-updater.exe Task: C:\Windows\Tasks\Super Lyrics Update.job => C:\Program Files\Super_Lyrics\SuperLupdater.exe ==================== Faulty Device Manager Devices ============= Name: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows Description: Cisco AnyConnect Secure Mobility Client Virtual Miniport Adapter for Windows Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Cisco Systems Service: vpnva Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. ==================== Event log errors: ========================= Application errors: ================== Error: (07/09/2013 04:46:57 PM) (Source: Software Protection Platform Service) (User: ) Description: Fehler bei der Lizenzaktivierung (slui.exe). Fehlercode: 0x800706BE Error: (07/09/2013 11:42:00 AM) (Source: Microsoft-Windows-CAPI2) (User: ) Description: Vom Kryptografiedienst konnte das VSS-Sicherungsobjekt "System Writer" nicht initialisiert werden. Details: Could not query the status of the EventSystem service. System Error: Der Computer wird heruntergefahren. . Error: (07/08/2013 09:20:11 AM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 00000114,0x0053c008,003B9EC0,0,003BAEC8,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht. . Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (07/08/2013 09:20:09 AM) (Source: System Restore) (User: ) Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101). Error: (07/07/2013 08:34:34 AM) (Source: System Restore) (User: ) Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101). Error: (07/07/2013 08:34:31 AM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 00000114,0x0053c008,0023C680,0,0023D688,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht. . Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (07/06/2013 10:38:47 AM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 0000010C,0x0053c008,002D9EC0,0,002DAEC8,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht. . Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (07/06/2013 10:38:46 AM) (Source: System Restore) (User: ) Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101). Error: (07/05/2013 09:08:08 AM) (Source: System Restore) (User: ) Description: Fehler beim Erstellen des Wiederherstellungspunkts (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update; Fehler = 0x81000101). Error: (07/05/2013 09:08:08 AM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "DeviceIoControl(\\?\Volume{db10ea2d-dff2-11e1-8b92-806e6f6e6963} - 0000010C,0x0053c008,0013BFE8,0,0013CFF0,4096,[0])". hr = 0x80070079, Das Zeitlimit für die Semaphore wurde erreicht. . Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider System errors: ============= Error: (07/14/2013 03:47:08 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst Windows Update konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden. Error: (07/14/2013 02:31:37 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst Windows Update konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden. Error: (07/14/2013 02:22:04 PM) (Source: ipnathlp) (User: ) Description: 0 Error: (07/14/2013 01:56:09 PM) (Source: Microsoft Antimalware) (User: ) Description: Beim Aktualisieren der Signaturen wurde von %NT-AUTORITÄT60 ein Fehler festgestellt. Neue Signaturversion: Vorherige Signaturversion: 1.153.1529.0 Aktualisierungsquelle: %NT-AUTORITÄT59 Aktualisierungsphase: 4.2.0223.00 Quellpfad: 4.2.0223.01 Signaturtyp: %NT-AUTORITÄT602 Aktualisierungstyp: %NT-AUTORITÄT604 Benutzer: NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: %NT-AUTORITÄT605 Vorherige Modulversion: %NT-AUTORITÄT606 Fehlercode: %NT-AUTORITÄT607 Fehlerbeschreibung: %NT-AUTORITÄT608 Error: (07/14/2013 01:45:22 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Microsoft Antimalware Service" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 15000 Millisekunden durchgeführt: Neustart des Diensts. Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: ) Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: AFD CSC DfsC discache MpFilter NetBIOS NetBT nsiproxy Psched rdbss spldr tdx vwififlt Wanarpv6 WfpLwf Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "Netzwerkverbindungen" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "SMB 2.0-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error: (07/14/2013 01:45:17 PM) (Source: Service Control Manager) (User: ) Description: Der Dienst "SMB 1.x-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Microsoft Office Sessions: ========================= ==================== Memory info =========================== Percentage of memory in use: 49% Total physical RAM: 3539.17 MB Available physical RAM: 1789.64 MB Total Pagefile: 7076.61 MB Available Pagefile: 5401.06 MB Total Virtual: 2047.88 MB Available Virtual: 1912.59 MB ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:148.93 GB) (Free:15.93 GB) NTFS ==>[System with boot components (obtained from reading drive)] ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 98DEB064) Partition 1: (Not Active) - (Size=125 MB) - (Type=DE) Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS) ==================== End Of Log ============================ |
14.07.2013, 18:42 | #10 |
/// the machine /// TB-Ausbilder | GVU-Trojaner beendet abgesicherten ModusESET Online Scanner
Downloade Dir bitte SecurityCheck und:
und ein frisches FRST log bitte. Noch probleme?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
14.07.2013, 22:53 | #11 |
| GVU-Trojaner beendet abgesicherten Modus Sorry, soweit bin ich nicht mehr gekommen. War der Laptop eines Freundes der ihn unbedingt jetzt brauchte, da er in einpaar Wochen seine Doktorarbeit abgeben muss. Hab aber noch Avira drüber laufen lassen und alle Viren die es gefunden hat entsorgen lassen. Auf jeden Fall ein RIESIGES Dankeschön für die Hilfe. Ist echt klasse von euch! |
15.07.2013, 08:08 | #12 |
/// the machine /// TB-Ausbilder | GVU-Trojaner beendet abgesicherten Modus Gern Geschehen
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu GVU-Trojaner beendet abgesicherten Modus |
.dll, adobe, association, desktop, explorer, explorer.exe, farbar, farbar recovery scan tool, free, frst.txt, ics, kaspersky, microsoft, mozilla, registry, scan, secure, security, service.exe, services.exe, software, super, svchost.exe, system, system32, temp, trojaner, windows, windows xp, winlogon.exe |