GVU trojaner abgessicherter modus mit eingabeaufforderung gunktioniert nicht

Jason12345 · 16.07.2013, 17:27

Hallo erstmal

Also wie bei vielen hier ist bei mir der gvu virus aufgetreten. Habe schon mal diesen Virus gehabt aber konnte ihn dort überlisten und habe ihn wegbekommen. Jetzt ist er aber hartnäckiger weder abgesichertermodus noch abgesicherter modus mit eingabeaufforderung funktioniert. Habe Otl bereits auf meinem pc glaube sogar mit der txt datei weiß nicht ob es was hilft ^^. Habe im forum nix gut passendes gefunden da ich keine CD da habe und keinen 2ten pc . Müsste wenn zu meinem bruder und eine cd kaufen aber vill gehts ja ohne

Bitte um hilfe
Mfg jason

t'john · 16.07.2013, 17:51

Zitat:

Habe schon mal diesen Virus gehabt aber konnte ihn dort überlisten und habe ihn wegbekommen.

*raeusper*

Welches Windows?

Jason12345 · 16.07.2013, 18:56

^^ ja überlisten indem ich in dem kurzen Zeitraum bevor sich dieses Fenster öffnet ganz viele Programme gestartet habe . Dadurch konnte der PC nicht sofort herunter fahren ^^, dann konnte ich herunterfahren abbrechen und dann den verlauf des Forum Beitrages folgen

Ich habe windows 7 64bits

MFG Jason

t'john · 16.07.2013, 19:46

ok:
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Jason12345 · 17.07.2013, 17:01

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-07-2013 02
Ran by SYSTEM on 17-07-2013 17:55:54
Running from H:\
Windows 7 Home Premium (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [mwlDaemon] - C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe [349552 2010-05-26] (Egis Technology Inc.)
HKLM\...\Run: [AmIcoSinglun64] - C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe [324608 2010-06-10] (Alcor Micro Corp.)
HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11101800 2010-07-28] (Realtek Semiconductor)
HKLM\...\Run: [PLFSetI] - C:\Windows\PLFSetI.exe [206208 2010-06-09] ()
HKLM\...\Run: [Apoint] - C:\Program Files\Apoint2K\Apoint.exe [325120 2009-10-22] (Alps Electric Co., Ltd.)
HKLM\...\Run: [Acer ePower Management] - C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe [861216 2010-06-11] (Acer Incorporated)
HKLM\...\Run: [IntelliPoint] - C:\Program Files\Microsoft IntelliPoint\ipoint.exe [2399632 2011-04-13] (Microsoft Corporation)
HKLM\...\Run: [AdobeAAMUpdater-1.0] - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [499608 2011-03-15] (Adobe Systems Incorporated)
HKLM\...\Run: [MSC] - C:\Program Files\Microsoft Security Client\msseces.exe [1271168 2012-03-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] - "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [35696 2009-10-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [BackupManagerTray] - "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k [265984 2010-06-28] (NewTech Infosystems, Inc.)
HKLM-x32\...\Run: [SuiteTray] - "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe" [337264 2010-05-26] (Egis Technology Inc.)
HKLM-x32\...\Run: [EgisUpdate] - "C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe" -d [201584 2010-03-10] (Egis Technology Inc.)
HKLM-x32\...\Run: [EgisTecPMMUpdate] - "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe" [407920 2010-03-10] (Egis Technology Inc.)
HKLM-x32\...\Run: [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [98304 2010-08-25] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [LManager] - C:\Program Files (x86)\Launch Manager\LManager.exe [975952 2010-08-10] (Dritek System Inc.)
HKLM-x32\...\Run: [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-11-28] (Apple Inc.)
HKLM-x32\...\Run: [SwitchBoard] - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS5.5ServiceManager] - "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin [1523360 2011-01-11] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [254896 2012-09-17] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [] -  [x]
HKLM-x32\...\Run: [ApnUpdater] - "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [x]
HKLM-x32\...\Run: [Sweetpacks Communicator] - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.)
HKLM-x32\...\Run: [QuickTime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2012-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [152544 2012-12-12] (Apple Inc.)
HKLM-x32\...\Run: [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [935288 2009-09-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [LogMeIn Hamachi Ui] - "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start [2255184 2013-06-28] (LogMeIn Inc.)
HKU\Default\...\RunOnce: [ScrSav] - C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe /default [154144 2010-01-14] ()
HKU\Default User\...\RunOnce: [ScrSav] - C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe /default [154144 2010-01-14] ()
HKU\Jason\...\Run: [Steam] - "C:\Program Files (x86)\Steam\steam.exe" -silent [1672616 2013-07-09] (Valve Corporation)
HKU\Jason\...\Run: [msnmsgr] - "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [4280184 2012-03-08] (Microsoft Corporation)
HKU\Jason\...\Run: [Skype] - "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun [17148552 2012-02-28] (Skype Technologies S.A.)
HKU\Jason\...\Run: [DriverScanner] - "C:\Program Files (x86)\Uniblue\DriverScanner\launcher.exe" delay 20000  [338808 2012-03-02] (Uniblue Systems Limited)
HKU\Jason\...\Run: [swg] - "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2012-03-22] (Google Inc.)
HKU\Jason\...\Run: [uTorrent] - "C:\Users\Jason\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED [1045072 2013-06-30] (BitTorrent Inc.)
HKU\Jason\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Jason\AppData\Local\Temp\qtwfkjkvgwxcqrffj.exe [55296 2013-07-15] (NVIDIA Corporation) <===== ATTENTION
HKU\Jason\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_7_700_224_ActiveX.exe -update activex [814472 2013-06-12] (Adobe Systems Incorporated)
HKU\Jason\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\Jason\...\Command Processor: "C:\Users\Jason\AppData\Local\Temp\qtwfkjkvgwxcqrffj.exe" <===== ATTENTION!
AlternateShell: 

==================== Services (Whitelisted) =================

S3 BEService; C:\Program Files (x86)\Common Files\BattlEye\BEService.exe [49152 2013-04-12] ()
S2 CLKMSVC10_9EC60124; c:\Program Files (x86)\CyberLink\PowerDVD9\NavFilter\kmsvc.exe [240112 2011-02-11] (CyberLink)
S3 MWLService; C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [305520 2010-05-26] (Egis Technology Inc.)
S3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [291696 2012-03-26] (Microsoft Corporation)
S2 NTISchedulerSvc; C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [144640 2010-04-16] (NTI, Inc.)
S2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [76888 2013-07-12] ()

==================== Drivers (Whitelisted) ====================

S3 libusb0; C:\Windows\SysWow64\drivers\libusb0.sys [33792 2005-03-09] ()
S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [203888 2012-03-20] (Microsoft Corporation)
S3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [98688 2012-03-20] (Microsoft Corporation)
S2 {B154377D-700F-42cc-9474-23858FBDF4BD}; c:\Program Files (x86)\CyberLink\PowerDVD9\000.fcl [146928 2010-08-16] (CyberLink Corp.)
S2 {B154377D-700F-42cc-9474-23858FBDF4BD}; c:\Program Files (x86)\CyberLink\PowerDVD9\000.fcl [146928 2010-08-16] (CyberLink Corp.)
S1 desqknmf; \??\C:\Windows\system32\drivers\desqknmf.sys [x]
S1 emypifya; \??\C:\Windows\system32\drivers\emypifya.sys [x]
S1 kfsqrvtm; \??\C:\Windows\system32\drivers\kfsqrvtm.sys [x]
S3 libusb0; system32\drivers\libusb0.sys [x]
S1 paydpmqw; \??\C:\Windows\system32\drivers\paydpmqw.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-17 17:55 - 2013-07-17 17:55 - 00000000 ____D C:\FRST
2013-07-15 20:19 - 2013-07-15 20:19 - 01084737 _____ C:\ProgramData\2433f433
2013-07-15 20:19 - 2013-07-15 20:19 - 01084723 _____ C:\Users\Jason\AppData\Local\2433f433
2013-07-15 20:19 - 2013-07-15 20:19 - 01084706 _____ C:\Users\Jason\AppData\Roaming\2433f433
2013-07-14 00:57 - 2013-07-14 00:57 - 00000000 ____D C:\Users\Jason\AppData\Local\{8D81426D-507A-4952-8268-82811771528F}
2013-07-14 00:55 - 2013-07-14 00:55 - 00000342 _____ C:\Windows\PFRO.log
2013-07-12 18:53 - 2013-07-12 18:53 - 00000000 ____D C:\Users\Jason\Documents\Arktos
2013-07-12 18:53 - 2013-07-12 18:53 - 00000000 ____D C:\Users\Jason\AppData\Local\CrashRpt
2013-07-12 18:53 - 2013-07-12 18:53 - 00000000 ____D C:\Users\Jason\AppData\Local\Arktos
2013-07-12 17:42 - 2013-07-12 17:42 - 00000660 _____ C:\Users\Public\Desktop\Infestation Survivor Stories.lnk
2013-07-10 09:10 - 2013-07-10 09:10 - 00032631 _____ C:\Users\Jason\Downloads\ACP-3.4.3.zip
2013-07-09 20:11 - 2013-07-09 20:11 - 00000000 ____D C:\Program Files (x86)\GUM2217.tmp
2013-07-06 04:59 - 2013-07-06 04:59 - 00000000 ____D C:\Users\Jason\AppData\Roaming\SoundSpectrum
2013-07-06 04:59 - 2013-07-06 04:59 - 00000000 ____D C:\Users\Jason\AppData\Local\SoundSpectrum
2013-07-06 04:58 - 2013-07-06 04:58 - 00000000 ____D C:\Program Files (x86)\SoundSpectrum
2013-07-06 04:52 - 2013-07-15 07:54 - 00020325 _____ C:\Windows\WindowsUpdate.log
2013-07-06 04:36 - 2013-07-16 07:47 - 00001344 _____ C:\Windows\setupact.log
2013-07-06 04:36 - 2013-07-06 04:36 - 00000000 _____ C:\Windows\setuperr.log
2013-07-05 10:54 - 2013-07-05 10:54 - 13485173 _____ C:\Users\Jason\Downloads\FmCata434.rar
2013-07-05 10:35 - 2013-07-05 10:35 - 00000000 ____D C:\Program Files (x86)\LogMeIn Hamachi
2013-07-05 08:02 - 2013-07-05 08:02 - 25328416 _____ (DVDVideoSoft Ltd.                                           ) C:\Users\Jason\Downloads\FreeYouTubeToMP3Converter.exe
2013-07-05 07:28 - 2013-07-05 07:28 - 00000000 ____D C:\Users\Jason\AppData\Local\{D6BD5BD0-532C-426F-AD10-CD1A0A0A4F7B}
2013-07-02 08:09 - 2013-07-02 08:10 - 00000000 ____D C:\Users\Jason\AppData\Local\{D7BDF92E-EF5A-4461-95A9-BD257D544C13}
2013-06-30 09:22 - 2013-06-30 09:22 - 00000000 ____D C:\Users\Jason\AppData\Local\{E7320CD8-31F6-4B84-824E-18BC811D7982}
2013-06-30 06:35 - 2013-06-30 06:35 - 00000873 _____ C:\Users\Public\Desktop\µTorrent.lnk
2013-06-30 06:34 - 2013-07-14 00:57 - 00000000 ____D C:\Users\Jason\AppData\Roaming\uTorrent
2013-06-30 06:32 - 2013-06-30 06:32 - 00098290 _____ C:\Users\Jason\Downloads\AT wotlk 3.3.5a Windows.torrent
2013-06-29 02:11 - 2013-06-29 02:11 - 00000000 ____D C:\Users\Jason\Desktop\cpu wiederherstellen
2013-06-28 15:13 - 2013-06-28 15:14 - 00000000 ____D C:\Users\Jason\AppData\Local\{93862F3C-6430-4D40-86D6-4BDE1DA328FA}
2013-06-28 14:51 - 2013-06-28 14:51 - 00000004 _____ C:\Users\Jason\AppData\Roaming\skype.ini
2013-06-26 07:27 - 2013-06-26 07:28 - 00000000 ____D C:\Users\Jason\AppData\Local\{DD29DC28-510A-4FAC-901B-D54C000544B9}
2013-06-25 06:41 - 2013-06-25 06:41 - 00000000 ____D C:\Users\Jason\AppData\Roaming\Malwarebytes
2013-06-25 06:40 - 2013-06-25 06:40 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-25 06:40 - 2013-06-25 06:40 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-06-25 06:40 - 2013-04-04 04:50 - 00025928 _____ (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2013-06-25 06:08 - 2013-06-25 06:08 - 00000000 ____D C:\_OTL
2013-06-25 03:28 - 2013-06-25 03:28 - 00000000 ____D C:\Users\Jason\AppData\Local\{8842FCF1-CA7E-4F97-89D0-8DFA17CEF21B}
2013-06-17 09:56 - 2013-07-06 05:40 - 00000000 ____D C:\Users\Jason\Desktop\JAKE

==================== One Month Modified Files and Folders =======

2013-07-17 17:55 - 2013-07-17 17:55 - 00000000 ____D C:\FRST
2013-07-16 07:48 - 2012-12-04 10:25 - 00000340 _____ C:\Windows\Tasks\DriverScanner.job
2013-07-16 07:48 - 2012-03-22 15:10 - 00001104 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-16 07:47 - 2013-07-06 04:36 - 00001344 _____ C:\Windows\setupact.log
2013-07-16 07:47 - 2009-07-13 21:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-16 07:43 - 2009-07-13 20:45 - 00017376 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-16 07:43 - 2009-07-13 20:45 - 00017376 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-15 20:19 - 2013-07-15 20:19 - 01084737 _____ C:\ProgramData\2433f433
2013-07-15 20:19 - 2013-07-15 20:19 - 01084723 _____ C:\Users\Jason\AppData\Local\2433f433
2013-07-15 20:19 - 2013-07-15 20:19 - 01084706 _____ C:\Users\Jason\AppData\Roaming\2433f433
2013-07-15 20:16 - 2012-03-22 15:10 - 00001108 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-15 20:16 - 2011-03-17 07:40 - 00000000 ____D C:\Users\Jason\AppData\Roaming\Skype
2013-07-15 20:15 - 2012-03-30 11:19 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-15 11:56 - 2011-03-17 07:42 - 00000000 ____D C:\Users\Jason\AppData\Roaming\TS3Client
2013-07-15 10:42 - 2011-05-27 12:19 - 00000000 ____D C:\Program Files (x86)\Steam
2013-07-15 08:17 - 2013-02-25 10:59 - 00291128 _____ C:\Windows\SysWOW64\PnkBstrB.xtr
2013-07-15 08:17 - 2013-02-25 10:03 - 00291128 _____ C:\Windows\SysWOW64\PnkBstrB.exe
2013-07-15 07:54 - 2013-07-06 04:52 - 00020325 _____ C:\Windows\WindowsUpdate.log
2013-07-14 10:53 - 2013-02-25 10:03 - 00291128 _____ C:\Windows\SysWOW64\PnkBstrB.ex0
2013-07-14 00:57 - 2013-07-14 00:57 - 00000000 ____D C:\Users\Jason\AppData\Local\{8D81426D-507A-4952-8268-82811771528F}
2013-07-14 00:57 - 2013-06-30 06:34 - 00000000 ____D C:\Users\Jason\AppData\Roaming\uTorrent
2013-07-14 00:57 - 2012-01-31 07:19 - 00000000 ____D C:\Users\Jason\AppData\Local\LogMeIn Hamachi
2013-07-14 00:57 - 2011-08-07 05:48 - 00000000 ____D C:\Users\Jason\Tracing
2013-07-14 00:55 - 2013-07-14 00:55 - 00000342 _____ C:\Windows\PFRO.log
2013-07-12 18:53 - 2013-07-12 18:53 - 00000000 ____D C:\Users\Jason\Documents\Arktos
2013-07-12 18:53 - 2013-07-12 18:53 - 00000000 ____D C:\Users\Jason\AppData\Local\CrashRpt
2013-07-12 18:53 - 2013-07-12 18:53 - 00000000 ____D C:\Users\Jason\AppData\Local\Arktos
2013-07-12 18:53 - 2013-02-25 10:59 - 00000000 ____D C:\Users\Jason\AppData\Local\PunkBuster
2013-07-12 18:52 - 2013-02-25 10:02 - 00076888 _____ C:\Windows\SysWOW64\PnkBstrA.exe
2013-07-12 17:42 - 2013-07-12 17:42 - 00000660 _____ C:\Users\Public\Desktop\Infestation Survivor Stories.lnk
2013-07-12 15:16 - 2012-03-22 15:10 - 00004104 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2013-07-12 15:16 - 2012-03-22 15:10 - 00003852 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore
2013-07-10 09:10 - 2013-07-10 09:10 - 00032631 _____ C:\Users\Jason\Downloads\ACP-3.4.3.zip
2013-07-09 20:11 - 2013-07-09 20:11 - 00000000 ____D C:\Program Files (x86)\GUM2217.tmp
2013-07-07 08:35 - 2011-03-16 12:52 - 00656528 _____ C:\Windows\System32\perfh007.dat
2013-07-07 08:35 - 2011-03-16 12:52 - 00131268 _____ C:\Windows\System32\perfc007.dat
2013-07-07 08:35 - 2009-07-13 21:13 - 01505216 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-06 05:40 - 2013-06-17 09:56 - 00000000 ____D C:\Users\Jason\Desktop\JAKE
2013-07-06 04:59 - 2013-07-06 04:59 - 00000000 ____D C:\Users\Jason\AppData\Roaming\SoundSpectrum
2013-07-06 04:59 - 2013-07-06 04:59 - 00000000 ____D C:\Users\Jason\AppData\Local\SoundSpectrum
2013-07-06 04:58 - 2013-07-06 04:58 - 00000000 ____D C:\Program Files (x86)\SoundSpectrum
2013-07-06 04:57 - 2013-02-13 21:24 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-07-06 04:36 - 2013-07-06 04:36 - 00000000 _____ C:\Windows\setuperr.log
2013-07-05 10:54 - 2013-07-05 10:54 - 13485173 _____ C:\Users\Jason\Downloads\FmCata434.rar
2013-07-05 10:35 - 2013-07-05 10:35 - 00000000 ____D C:\Program Files (x86)\LogMeIn Hamachi
2013-07-05 08:02 - 2013-07-05 08:02 - 25328416 _____ (DVDVideoSoft Ltd.                                           ) C:\Users\Jason\Downloads\FreeYouTubeToMP3Converter.exe
2013-07-05 07:28 - 2013-07-05 07:28 - 00000000 ____D C:\Users\Jason\AppData\Local\{D6BD5BD0-532C-426F-AD10-CD1A0A0A4F7B}
2013-07-02 08:10 - 2013-07-02 08:09 - 00000000 ____D C:\Users\Jason\AppData\Local\{D7BDF92E-EF5A-4461-95A9-BD257D544C13}
2013-06-30 09:22 - 2013-06-30 09:22 - 00000000 ____D C:\Users\Jason\AppData\Local\{E7320CD8-31F6-4B84-824E-18BC811D7982}
2013-06-30 06:35 - 2013-06-30 06:35 - 00000873 _____ C:\Users\Public\Desktop\µTorrent.lnk
2013-06-30 06:32 - 2013-06-30 06:32 - 00098290 _____ C:\Users\Jason\Downloads\AT wotlk 3.3.5a Windows.torrent
2013-06-29 02:11 - 2013-06-29 02:11 - 00000000 ____D C:\Users\Jason\Desktop\cpu wiederherstellen
2013-06-28 15:14 - 2013-06-28 15:13 - 00000000 ____D C:\Users\Jason\AppData\Local\{93862F3C-6430-4D40-86D6-4BDE1DA328FA}
2013-06-28 14:51 - 2013-06-28 14:51 - 00000004 _____ C:\Users\Jason\AppData\Roaming\skype.ini
2013-06-27 07:51 - 2012-03-22 15:09 - 00000000 ____D C:\Users\Jason\AppData\Local\Google
2013-06-26 07:28 - 2013-06-26 07:27 - 00000000 ____D C:\Users\Jason\AppData\Local\{DD29DC28-510A-4FAC-901B-D54C000544B9}
2013-06-25 06:41 - 2013-06-25 06:41 - 00000000 ____D C:\Users\Jason\AppData\Roaming\Malwarebytes
2013-06-25 06:40 - 2013-06-25 06:40 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-06-25 06:40 - 2013-06-25 06:40 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
2013-06-25 06:08 - 2013-06-25 06:08 - 00000000 ____D C:\_OTL
2013-06-25 03:28 - 2013-06-25 03:28 - 00000000 ____D C:\Users\Jason\AppData\Local\{8842FCF1-CA7E-4F97-89D0-8DFA17CEF21B}
2013-06-24 09:19 - 2011-03-17 07:14 - 00000000 ____D C:\users\Jason

ZeroAccess:
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\U
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L\00000004.@
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L\201d3dde

ZeroAccess:
C:\Users\Jason\AppData\Local\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}
C:\Users\Jason\AppData\Local\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L
C:\Users\Jason\AppData\Local\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\U

Files to move or delete:
====================
C:\Users\Jason\AppData\Roaming\skype.ini
C:\ProgramData\345818429.bat
C:\ProgramData\345818429.pad
C:\ProgramData\345818429.reg
C:\ProgramData\682757624.pad
C:\ProgramData\79879354.bat
C:\ProgramData\79879354.pad
C:\ProgramData\79879354.reg
C:\ProgramData\ldsw_0paos.pad
C:\ProgramData\pmt_0piot.pad
C:\ProgramData\to_r0tsef.pad

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 17%
Total physical RAM: 3956.5 MB
Available physical RAM: 3246.6 MB
Total Pagefile: 3954.64 MB
Available Pagefile: 3240.28 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (ACER) (Fixed) (Total:141.07 GB) (Free:4.72 GB) NTFS (Disk=0 Partition=3)
Drive e: (DATA) (Fixed) (Total:141.3 GB) (Free:31.49 GB) NTFS (Disk=0 Partition=4)
Drive f: (PQSERVICE) (Fixed) (Total:15.62 GB) (Free:4.48 GB) NTFS (Disk=0 Partition=1)
Drive h: (INTENSO) (Removable) (Total:7.26 GB) (Free:7.21 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 71166DC0)
Partition 1: (Not Active) - (Size=16 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=141 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=141 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 7 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=7 GB) - (Type=0C)


LastRegBack: 2013-06-03 14:32

==================== End Of Log ============================

--- --- ---

t'john · 18.07.2013, 09:40

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKLM-x32\...\Run: [ApnUpdater] - "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [x] 
HKLM-x32\...\Run: [Sweetpacks Communicator] - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.) 
HKU\Jason\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Jason\AppData\Local\Temp\qtwfkjkvgwxcqrffj.exe [55296 2013-07-15] (NVIDIA Corporation) <===== ATTENTION 
HKU\Jason\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\Jason\...\Command Processor: "C:\Users\Jason\AppData\Local\Temp\qtwfkjkvgwxcqrffj.exe" <===== ATTENTION! 
2013-07-15 20:19 - 2013-07-15 20:19 - 01084737 _____ C:\ProgramData\2433f433 
2013-07-15 20:19 - 2013-07-15 20:19 - 01084723 _____ C:\Users\Jason\AppData\Local\2433f433 
2013-07-15 20:19 - 2013-07-15 20:19 - 01084706 _____ C:\Users\Jason\AppData\Roaming\2433f433 
2013-06-28 14:51 - 2013-06-28 14:51 - 00000004 _____ C:\Users\Jason\AppData\Roaming\skype.ini 
C:\Users\Jason\AppData\Local\Temp\qtwfkjkvgwxcqrffj.exe
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L 
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L\00000004.@ 
C:\Windows\Installer\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L\201d3dde 
C:\Users\Jason\AppData\Local\{3e72d9c3-89be-4ac9-acc4-ecec699b634d}\L 
C:\Users\Jason\AppData\Roaming\skype.ini 
C:\ProgramData\to_r0tsef.pad 
C:\ProgramData\pmt_0piot.pad 
C:\ProgramData\ldsw_0paos.pad 
C:\ProgramData\79879354.pad 
C:\ProgramData\682757624.pad 
C:\ProgramData\345818429.pad

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

dann normal neustarten, und:

2. Schritt
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

t'john · 12.10.2013, 12:21

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

GVU trojaner abgessicherter modus mit eingabeaufforderung gunktioniert nicht

Log-Analyse und Auswertung: GVU trojaner abgessicherter modus mit eingabeaufforderung gunktioniert nicht