|
Log-Analyse und Auswertung: GVU Trojaner auf Windows 7Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.10.2013, 14:53 | #1 |
| GVU Trojaner auf Windows 7 Hallo, ich hoffe ihr könnt uns helfen. Seit 1 Woche ist mein Laptop mit Windows 7 von dem Sperrbildschrim // GVU Trojaner befallen. Es ist die Variante in der der abgesicherte Modus nicht mehr funktioniert. Wir haben schon mehrere Varianten / Videos probiert den Schädling loszuwerden aber allerdings ohne Erfolg. Daher bitten wir euch um Hilfe. Die FRST.txt haben wir erstellt, allerdings können wir Sie weder hochladen noch posten weil sie angeblich zu lang und zu groß ist... Haben wir was falsch gemacht? Vielen lieben Dank im Voraus |
03.10.2013, 15:45 | #2 |
| GVU Trojaner auf Windows 7 So SRy
__________________Gezippt hat es nun endlich funktioniert. Wir danken euch jetzt schon herzlich! |
04.10.2013, 21:43 | #3 |
/// Helfer-Team | GVU Trojaner auf Windows 7Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKLM\...\Run: [DivXUpdate] - C:\Program Files\DivX\DivX Update\DivXUpdate.exe [1259376 2011-07-29] () HKLM\...\Run: [AVSetupPending] - C:\Windows\Temp\AVSETUP_521ce13b\SetupPending.exe <===== ATTENTION HKU\Andy\...\Run: [Userinit] - C:\Users\Andy\AppData\Roaming\appConf32.exe HKU\Andy\...\Winlogon: [Shell] explorer.exe,C:\Users\Andy\AppData\Roaming\data.dat [ 2013-07-09] () <==== ATTENTION S2 KMService; C:\Windows\system32\srvany.exe [8192 2003-04-18] () S2 AviraUpgradeService; "C:\Windows\Temp\AVSETUP_521ce13b\avupgsvc.exe" /TEMPSTART:""C:\Windows\Temp\AVSETUP_521ce13b\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" 2013-09-18 20:20 - 2006-01-09 22:18 - 00000004 _____ C:\Users\Andy\AppData\Roaming\settings.ini 2012-09-03 18:24 - 2012-09-03 18:24 - 00198288 _____ C:\Users\Andy\AppData\Roaming\AcroIEHelpe206.dll 2012-09-03 18:24 - 2012-09-03 18:24 - 00007424 _____ C:\Users\Andy\AppData\Roaming\BAcroIEHelpe206.dll 2012-07-15 10:32 - 2012-09-28 20:01 - 00000000 ____D C:\Users\Andy\AppData\Roaming\xmldm C:\Users\Andy\AppData\Roaming\settings.ini C:\Users\Andy\AppData\Roaming\i.ini C:\Users\Andy\AppData\Roaming\appConf32.exe
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier. dann normal starten und: Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers dann: Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ |
07.10.2013, 18:28 | #4 |
| GVU Trojaner auf Windows 7 Hallo t`john, vielen lieben Dank für deine Unterstützung. Hier das Fixlist.txt: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-10-2013 Ran by SYSTEM at 2006-01-10 00:07:27 Run:1 Running from G:\ Boot Mode: Recovery ============================================== Content of fixlist: ***************** HKLM\...\Run: [DivXUpdate] - C:\Program Files\DivX\DivX Update\DivXUpdate.exe [1259376 2011-07-29] () HKLM\...\Run: [AVSetupPending] - C:\Windows\Temp\AVSETUP_521ce13b\SetupPending.exe <===== ATTENTION HKU\Andy\...\Run: [Userinit] - C:\Users\Andy\AppData\Roaming\appConf32.exe HKU\Andy\...\Winlogon: [Shell] explorer.exe,C:\Users\Andy\AppData\Roaming\data.dat [ 2013-07-09] () <==== ATTENTION S2 KMService; C:\Windows\system32\srvany.exe [8192 2003-04-18] () S2 AviraUpgradeService; "C:\Windows\Temp\AVSETUP_521ce13b\avupgsvc.exe" /TEMPSTART:""C:\Windows\Temp\AVSETUP_521ce13b\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" 2013-09-18 20:20 - 2006-01-09 22:18 - 00000004 _____ C:\Users\Andy\AppData\Roaming\settings.ini 2012-09-03 18:24 - 2012-09-03 18:24 - 00198288 _____ C:\Users\Andy\AppData\Roaming\AcroIEHelpe206.dll 2012-09-03 18:24 - 2012-09-03 18:24 - 00007424 _____ C:\Users\Andy\AppData\Roaming\BAcroIEHelpe206.dll 2012-07-15 10:32 - 2012-09-28 20:01 - 00000000 ____D C:\Users\Andy\AppData\Roaming\xmldm C:\Users\Andy\AppData\Roaming\settings.ini C:\Users\Andy\AppData\Roaming\i.ini C:\Users\Andy\AppData\Roaming\appConf32.exe ***************** HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\DivXUpdate => Value deleted successfully. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\AVSetupPending => Value deleted successfully. HKU\Andy\Software\Microsoft\Windows\CurrentVersion\Run\\Userinit => Value deleted successfully. HKU\Andy\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully. KMService => Service deleted successfully. AviraUpgradeService => Service deleted successfully. C:\Users\Andy\AppData\Roaming\settings.ini => Moved successfully. C:\Users\Andy\AppData\Roaming\AcroIEHelpe206.dll => Moved successfully. C:\Users\Andy\AppData\Roaming\BAcroIEHelpe206.dll => Moved successfully. C:\Users\Andy\AppData\Roaming\xmldm => Moved successfully. "C:\Users\Andy\AppData\Roaming\settings.ini " => File/Directory not found. "C:\Users\Andy\AppData\Roaming\i.ini " => File/Directory not found. "C:\Users\Andy\AppData\Roaming\appConf32.exe" => File/Directory not found. ==== End of Fixlog ==== Grüße |
07.10.2013, 19:09 | #5 |
/// Helfer-Team | GVU Trojaner auf Windows 7 Schritt 2 und 3? |
07.10.2013, 19:20 | #6 |
| GVU Trojaner auf Windows 7 m-bar log Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.07.0.1005 www.malwarebytes.org Database version: v2013.10.07.09 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16576 Andy :: ANDY-PC [administrator] 07.10.2013 19:53:26 mbar-log-2013-10-07 (19-53-26).txt Scan type: Quick scan Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken Scan options disabled: Kernel memory modifications detected. Deep Anti-Rootkit Scan engaged. Objects scanned: 195839 Time elapsed: 7 minute(s), 45 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 9 HKCU\SOFTWARE\CLASSES\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\CLASSES\linkd.AIEbho (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\CLASSES\linkd.AIEbho.1 (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\CLASSES\CLSID\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\CLASSES\linkrd.AIEbho (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\CLASSES\linkrdr.AIEbho (Trojan.Banker) -> Delete on reboot. HKCU\SOFTWARE\CLASSES\linkrdr.AIEbho.1 (Trojan.Banker) -> Delete on reboot. Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 2 C:\Users\Andy\AppData\Roaming\data.dat (Trojan.Ransom.Gend) -> Delete on reboot. C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Delete on reboot. Physical Sectors Detected: 0 (No malicious items detected) (end) Code:
ATTFilter # AdwCleaner v3.006 - Bericht erstellt am 07/10/2013 um 20:17:29 # Updated 01/10/2013 von Xplode # Betriebssystem : Windows 7 Ultimate Service Pack 1 (32 bits) # Benutzername : Andy - ANDY-PC # Gestartet von : C:\Users\Andy\Downloads\adwcleaner.exe # Option : Löschen ***** [ Dienste ] ***** ***** [ Dateien / Ordner ] ***** Ordner Gelöscht : C:\Users\Andy\AppData\LocalLow\boost_interprocess Ordner Gelöscht : C:\Users\Andy\AppData\LocalLow\incredibar.com Ordner Gelöscht : C:\Users\Andy\AppData\Roaming\dvdvideosoftiehelpers Ordner Gelöscht : C:\Program Files\Mozilla Firefox\Extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-1.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-10.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-2.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-3.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-4.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-5.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-6.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-7.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-8.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-9.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\MyStart Search.xml Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\user.js ***** [ Verknüpfungen ] ***** ***** [ Registrierungsdatenbank ] ***** Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Incredibar.IncredibarHlpr Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Incredibar.IncredibarHlpr.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{67C71B35-A416-4A54-BD1D-15965A4FE41C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A} Schlüssel Gelöscht : HKCU\Software\Grand Virtual Schlüssel Gelöscht : HKCU\Software\IM Schlüssel Gelöscht : HKCU\Software\ImInstaller Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar ***** [ Browser ] ***** -\\ Internet Explorer v10.0.9200.16576 Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] -\\ Mozilla Firefox v11.0 (de) [ Datei : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\prefs.js ] Zeile gelöscht : user_pref("browser.search.defaultenginename", "MyStart Search"); Zeile gelöscht : user_pref("extensions.facemoods.aflt", "_#pni"); Zeile gelöscht : user_pref("extensions.facemoods.firstRun", false); Zeile gelöscht : user_pref("extensions.incredibar.actvtyRptTime", "1325518315768"); Zeile gelöscht : user_pref("extensions.incredibar.admin", false); Zeile gelöscht : user_pref("extensions.incredibar.aflt", "orgnl"); Zeile gelöscht : user_pref("extensions.incredibar.cntry", "DE"); Zeile gelöscht : user_pref("extensions.incredibar.dfltLng", ""); Zeile gelöscht : user_pref("extensions.incredibar.dfltSrch", false); Zeile gelöscht : user_pref("extensions.incredibar.did", "10595"); Zeile gelöscht : user_pref("extensions.incredibar.hdrMd5", "52D53113F20A9EF9803F4F7E705B76E1"); Zeile gelöscht : user_pref("extensions.incredibar.hmpg", false); Zeile gelöscht : user_pref("extensions.incredibar.id", "888fd61300000000000000197d6a4c67"); Zeile gelöscht : user_pref("extensions.incredibar.installerproductid", "26"); Zeile gelöscht : user_pref("extensions.incredibar.instlDay", "15341"); Zeile gelöscht : user_pref("extensions.incredibar.instlRef", ""); Zeile gelöscht : user_pref("extensions.incredibar.lastVrsnTs", "1.5.3.2716:29:45"); Zeile gelöscht : user_pref("extensions.incredibar.newTab", false); Zeile gelöscht : user_pref("extensions.incredibar.noFFXTlbr", false); Zeile gelöscht : user_pref("extensions.incredibar.ppd", ""); Zeile gelöscht : user_pref("extensions.incredibar.prdct", "incredibar"); Zeile gelöscht : user_pref("extensions.incredibar.productid", "26"); Zeile gelöscht : user_pref("extensions.incredibar.prtnrId", "Incredibar"); Zeile gelöscht : user_pref("extensions.incredibar.sg", "none"); Zeile gelöscht : user_pref("extensions.incredibar.smplGrp", "none"); Zeile gelöscht : user_pref("extensions.incredibar.tlbrId", "base"); Zeile gelöscht : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6PQk6J5Hsm&loc=IB_TB&i=26&search="); Zeile gelöscht : user_pref("extensions.incredibar.upn2", "6PQk6J5Hsm"); Zeile gelöscht : user_pref("extensions.incredibar.upn2n", "92542130789736306"); Zeile gelöscht : user_pref("extensions.incredibar.vrsn", "1.5.3.27"); Zeile gelöscht : user_pref("extensions.incredibar.vrsnTs", "1.5.3.2716:29:45"); Zeile gelöscht : user_pref("extensions.incredibar.vrsni", "1.5.3.27"); Zeile gelöscht : user_pref("extensions.incredibar.xpeToaster\\lastCall", "1325518333405"); Zeile gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl"); Zeile gelöscht : user_pref("extensions.incredibar_i.dfltLng", ""); Zeile gelöscht : user_pref("extensions.incredibar_i.did", "10595"); Zeile gelöscht : user_pref("extensions.incredibar_i.excTlbr", "false"); Zeile gelöscht : user_pref("extensions.incredibar_i.hardId", "888fd61300000000000000197d6a4c67"); Zeile gelöscht : user_pref("extensions.incredibar_i.id", "888fd61300000000000000197d6a4c67"); Zeile gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26"); Zeile gelöscht : user_pref("extensions.incredibar_i.instlDay", "15341"); Zeile gelöscht : user_pref("extensions.incredibar_i.instlRef", ""); Zeile gelöscht : user_pref("extensions.incredibar_i.ms_url_id", ""); Zeile gelöscht : user_pref("extensions.incredibar_i.newTab", false); Zeile gelöscht : user_pref("extensions.incredibar_i.ppd", ""); Zeile gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar"); Zeile gelöscht : user_pref("extensions.incredibar_i.productid", "26"); Zeile gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar"); Zeile gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none"); Zeile gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base"); Zeile gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6PQk6J5Hsm&loc=IB_TB&i=26&search="); Zeile gelöscht : user_pref("extensions.incredibar_i.upn2", "6PQk6J5Hsm"); Zeile gelöscht : user_pref("extensions.incredibar_i.upn2n", "92542130789736306"); Zeile gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.3.27"); Zeile gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.3.2716:29:45"); Zeile gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.3.27"); Zeile gelöscht : user_pref("icqtoolbar.allowSendURL", false); Zeile gelöscht : user_pref("icqtoolbar.engineVerified", true); Zeile gelöscht : user_pref("icqtoolbar.hiddenElements", "itb_options"); Zeile gelöscht : user_pref("icqtoolbar.history", "widerrufe||adobe%20acrobat%20writer%20kostenlos||%22adobe%20acrobat%20writer%20kostenlos%22||adobe%20acrobat%20writer%20kostenlos%20||%22acrobat%20adobe%20writer%22||%[...] Zeile gelöscht : user_pref("icqtoolbar.installsource", "1"); Zeile gelöscht : user_pref("icqtoolbar.numberOfSearches", 0); Zeile gelöscht : user_pref("icqtoolbar.previousFFVersion", "3.6.2"); Zeile gelöscht : user_pref("icqtoolbar.skip_default_search", "no"); Zeile gelöscht : user_pref("icqtoolbar.suggestions", false); Zeile gelöscht : user_pref("icqtoolbar.uniqueID", "120272021812027202181202908010496"); Zeile gelöscht : user_pref("icqtoolbar.usageStatstTimestamp", 1265745697); Zeile gelöscht : user_pref("icqtoolbar.version", "1.1.4.1"); Zeile gelöscht : user_pref("icqtoolbar.xmlEnableSuggestions", false); Zeile gelöscht : user_pref("icqtoolbar.xmlLanguage", "de"); Zeile gelöscht : user_pref("keyword.URL", "hxxp://start.facemoods.com/results.php?f=5&a=pni&q="); ************************* AdwCleaner[R0].txt - [10573 octets] - [07/10/2013 20:15:32] AdwCleaner[S0].txt - [10452 octets] - [07/10/2013 20:17:29] ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [10513 octets] ########## |
08.10.2013, 14:28 | #7 |
/// Helfer-Team | GVU Trojaner auf Windows 7 ok: Scan mit Combofix
|
08.10.2013, 15:42 | #8 |
| GVU Trojaner auf Windows 7 Hallo t´john, nachfolgend der Inhalt der Datei Code:
ATTFilter ComboFix 13-10-08.01 - Andy 08.10.2013 16:29:58.1.1 - x86 Microsoft Windows 7 Ultimate 6.1.7601.1.1252.49.1031.18.2303.1212 [GMT 2:00] ausgeführt von:: c:\users\Andy\Downloads\ComboFix.exe SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\users\Andy\AppData\Roaming\11001.046 c:\users\Andy\AppData\Roaming\11001.046\chrome.manifest c:\users\Andy\AppData\Roaming\11001.046\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.046\install.rdf c:\users\Andy\AppData\Roaming\11001.047 c:\users\Andy\AppData\Roaming\11001.047\chrome.manifest c:\users\Andy\AppData\Roaming\11001.047\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.047\install.rdf c:\users\Andy\AppData\Roaming\11001.048 c:\users\Andy\AppData\Roaming\11001.048\chrome.manifest c:\users\Andy\AppData\Roaming\11001.048\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.048\components\AcroFF048.dll c:\users\Andy\AppData\Roaming\11001.048\install.rdf c:\users\Andy\AppData\Roaming\11001.049 c:\users\Andy\AppData\Roaming\11001.049\chrome.manifest c:\users\Andy\AppData\Roaming\11001.049\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.049\install.rdf c:\users\Andy\AppData\Roaming\11001.050 c:\users\Andy\AppData\Roaming\11001.050\chrome.manifest c:\users\Andy\AppData\Roaming\11001.050\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.050\install.rdf c:\users\Andy\AppData\Roaming\11001.051 c:\users\Andy\AppData\Roaming\11001.051\chrome.manifest c:\users\Andy\AppData\Roaming\11001.051\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.051\install.rdf c:\users\Andy\AppData\Roaming\11001.052 c:\users\Andy\AppData\Roaming\11001.052\chrome.manifest c:\users\Andy\AppData\Roaming\11001.052\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.052\install.rdf c:\users\Andy\AppData\Roaming\11001.054 c:\users\Andy\AppData\Roaming\11001.054\chrome.manifest c:\users\Andy\AppData\Roaming\11001.054\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.054\install.rdf c:\users\Andy\AppData\Roaming\11001.055 c:\users\Andy\AppData\Roaming\11001.055\chrome.manifest c:\users\Andy\AppData\Roaming\11001.055\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.055\install.rdf c:\users\Andy\AppData\Roaming\11001.058 c:\users\Andy\AppData\Roaming\11001.058\chrome.manifest c:\users\Andy\AppData\Roaming\11001.058\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.058\install.rdf c:\users\Andy\AppData\Roaming\11001.059 c:\users\Andy\AppData\Roaming\11001.059\chrome.manifest c:\users\Andy\AppData\Roaming\11001.059\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.059\install.rdf c:\users\Andy\AppData\Roaming\11001.063 c:\users\Andy\AppData\Roaming\11001.063\chrome.manifest c:\users\Andy\AppData\Roaming\11001.063\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.063\install.rdf c:\users\Andy\AppData\Roaming\11001.064 c:\users\Andy\AppData\Roaming\11001.064\chrome.manifest c:\users\Andy\AppData\Roaming\11001.064\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.064\install.rdf c:\users\Andy\AppData\Roaming\11001.065 c:\users\Andy\AppData\Roaming\11001.065\chrome.manifest c:\users\Andy\AppData\Roaming\11001.065\components\AcroFF.txt c:\users\Andy\AppData\Roaming\11001.065\components\AcroFF065.dll c:\users\Andy\AppData\Roaming\11001.065\install.rdf c:\users\Andy\AppData\Roaming\61ndxgs9.default.tmp c:\users\Andy\AppData\Roaming\AcroIEHelpe.txt c:\users\Andy\AppData\Roaming\BAcroIEHelpe185.dll c:\users\Andy\AppData\Roaming\BAcroIEHelpe201.dll c:\users\Andy\AppData\Roaming\BAcroIEHelpe203.dll c:\users\Andy\AppData\Roaming\srvblck5.tmp . . ((((((((((((((((((((((( Dateien erstellt von 2013-09-08 bis 2013-10-08 )))))))))))))))))))))))))))))) . . 2013-10-08 14:38 . 2013-10-08 14:38 -------- d-----w- c:\users\Default\AppData\Local\temp 2013-10-07 18:15 . 2013-10-07 18:17 -------- d-----w- C:\AdwCleaner 2013-10-07 17:39 . 2013-09-05 05:02 7328304 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{CF03AE41-D4D8-40A0-B8F5-D5AB9C146988}\mpengine.dll 2013-10-07 17:36 . 2013-10-07 17:36 -------- d-----w- c:\programdata\Malwarebytes 2013-09-15 17:30 . 2013-09-15 17:30 -------- d-----w- c:\program files\Common Files\Skype . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-08-07 02:22 . 2009-10-14 02:21 238872 ------w- c:\windows\system32\MpSigStub.exe 2013-07-25 08:57 . 2013-08-27 17:30 1620992 ----a-w- c:\windows\system32\WMVDECOD.DLL 2013-07-19 01:41 . 2013-08-27 17:29 2048 ----a-w- c:\windows\system32\tzres.dll 2012-04-08 21:41 . 2011-05-07 13:50 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2013-05-25 00:36 130736 ----a-w- c:\users\Andy\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2013-05-25 00:36 130736 ----a-w- c:\users\Andy\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2013-05-25 00:36 130736 ----a-w- c:\users\Andy\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696] "OfficeSyncProcess"="c:\program files\Microsoft Office\Office14\MSOSYNC.EXE" [2011-07-21 718720] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvSvc"="c:\windows\system32\nvsvc.dll" [2006-12-19 90191] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-12-19 7766016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-12-19 81920] "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696] "PDFPrint"="c:\program files\pdf\pdf24.exe" [2013-02-19 162856] "BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520] . c:\users\Andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dropbox.lnk - c:\users\Andy\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-5-25 27776968] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2013-06-21 162408] R3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [x] R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872] R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224] R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x] R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-07-24 691696] S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144] S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360] S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992] S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504] . . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105 IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.178.1 FF - ProfilePath - c:\users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - ExtSQL: !HIDDEN! 2010-08-07 18:50; smartwebprinting@hp.com; c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-eyeBeam SIP Client - (no file) AddRemove-Uninstall_is1 - c:\program files\Common Files\DVDVideoSoft\unins000.exe . . . [HKEY_LOCAL_MACHINE\system\ControlSet001\services\EverestDriver] "ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt" . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2013-10-08 16:40:09 ComboFix-quarantined-files.txt 2013-10-08 14:40 . Vor Suchlauf: 2.382.745.600 Bytes frei Nach Suchlauf: 2.292.465.664 Bytes frei . - - End Of File - - 5287AF0BD14A79C87BA76381BA3C8901 A36C5E4F47E84449FF07ED3517B43A31 |
08.10.2013, 19:52 | #9 |
/// Helfer-Team | GVU Trojaner auf Windows 7 Sehr gut! Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
danach: ESET Online Scanner
danach: Downloade Dir bitte SecurityCheck und:
|
09.10.2013, 21:33 | #10 |
| GVU Trojaner auf Windows 7 Und weiter egth die lustige Fahrt... Die JRT.txt Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.0.4 (10.06.2013:1) OS: Windows 7 Ultimate x86 Ran by Andy on 09.10.2013 at 21:33:45,34 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5} Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\dt soft\daemon tools toolbar ~~~ Files ~~~ Folders ~~~ FireFox Successfully deleted: [File] C:\user.js Emptied folder: C:\Users\Andy\AppData\Roaming\mozilla\firefox\profiles\61ndxgs9.default\minidumps [1 files] ~~~ Event Viewer Logs were cleared ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 09.10.2013 at 21:38:14,62 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=ee8217b46828954998b4e59fc13bf700 # engine=15422 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-10-09 08:27:24 # local_time=2013-10-09 10:27:24 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=5893 16776573 100 94 2794 132981635 0 0 # scanned=131824 # found=15 # cleaned=0 # scan_time=2649 sh=4D7825F94FE34D13C750CE3CF1D7833D8DDBBA07 ft=1 fh=984c2aaa076bb3fc vn="a variant of Win32/Spy.Banker.YZT trojan" ac=I fn="C:\FRST\Quarantine\AcroIEHelpe206.dll" sh=AEF536D9FAF101EA55375AC722B76D3C51EA8260 ft=1 fh=cb2c5bec64fdaaec vn="a variant of Win32/Spy.Banker.YQR trojan" ac=I fn="C:\FRST\Quarantine\BAcroIEHelpe206.dll" sh=CD43B3918625BBC7EB06790E9A81610C1B167047 ft=1 fh=0a97428908a22542 vn="a variant of Win32/Spy.Banker.YUN trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\BAcroIEHelpe185.dll.vir" sh=506735513C42EFD6A3D650EC2AA19C9385C31900 ft=1 fh=d10e23fbe8fbe906 vn="probably a variant of Win32/Spy.Banker.YUN trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\BAcroIEHelpe201.dll.vir" sh=454E3AF4913561F6733846214F7C12A5360D33CD ft=1 fh=0c43c72807fd50bb vn="probably a variant of Win32/Spy.Banker.YUN trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\BAcroIEHelpe203.dll.vir" sh=78315DA14C794960F3CF13C401DF21800711EA1A ft=1 fh=1f3a2e03714439ad vn="a variant of Win32/Spy.Banker.YPK trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\11001.048\components\AcroFF048.dll.vir" sh=54F5D5BA90F1D63CC2F2FECFD768B8F636CC0918 ft=1 fh=c3389fd058ad4498 vn="a variant of Win32/Spy.Banker.YPK trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\11001.065\components\AcroFF065.dll.vir" sh=F66F6BB2222DAF27161B2D40D89F5DC057D53C3B ft=0 fh=0000000000000000 vn="Java/Exploit.CVE-2012-4681.B trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\7ac02ad2-76c8b377" sh=E204F84E37A0495D06FEC90AD25FF3CDCE910191 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\7aabd897-127a1ac1" sh=4787F4E7BA4D16CF569C41C77D55FDE806F90CBA ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.PQI trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\536650d8-5a05b3d8" sh=D6F99641C5207612DFD958183E878A96C3C5677E ft=0 fh=0000000000000000 vn="Java/Exploit.CVE-2012-4681.K trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\6d7d629c-14e0ae6e" sh=21F969B55DED8BC2CDFE786FCE7A0BF94F8249E1 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\783b8933-3ac64227" sh=EFFB923AEC720558E847B1ACFDB2D54B10C1300A ft=1 fh=8d8edd95bdacb73d vn="a variant of Win32/Kryptik.BKTG trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\a621f3b-5cdf8a61" sh=5825C91D0FFD36390DD3E033BE275092FEA0025D ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NTH trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\55b1d2fe-45ab82ee" sh=360CC015805515F1286CF93215013F556B276AA9 ft=1 fh=c293ce2007ab988b vn="a variant of Win32/Spy.Banker.YZT trojan" ac=I fn="C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll" UNSUPPORTED OPERATING SYSTEM! ABORTED! |
10.10.2013, 17:01 | #11 |
/// Helfer-Team | GVU Trojaner auf Windows 7 oki Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
10.10.2013, 22:06 | #12 |
| GVU Trojaner auf Windows 7 Einen wunderschönen... Nachfolgend die FRST.txt FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013 Ran by Andy (administrator) on ANDY-PC on 10-10-2013 23:02:08 Running from C:\Users\Andy\Downloads Microsoft Windows 7 Ultimate Service Pack 1 (X86) OS Language: German Standard Internet Explorer Version 10 Boot Mode: Normal ==================== Processes (Whitelisted) =================== (TeamViewer GmbH) C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe (Geek Software GmbH) C:\Program Files\pdf\pdf24.exe (DT Soft Ltd) C:\Program Files\DAEMON Tools Lite\DTLite.exe (Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE (Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (Dropbox, Inc.) C:\Users\Andy\AppData\Roaming\Dropbox\bin\Dropbox.exe (Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe (Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe (Hewlett-Packard) C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe (Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe (Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [NvSvc] - RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup HKLM\...\Run: [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit HKLM\...\Run: [hpqSRMon] - C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard) HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [937920 2011-06-06] (Adobe Systems Incorporated) HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [254696 2012-01-18] (Sun Microsystems, Inc.) HKLM\...\Run: [PDFPrint] - C:\Program Files\pdf\pdf24.exe [162856 2013-02-19] (Geek Software GmbH) HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation) HKCU\...\Run: [DAEMON Tools Lite] - C:\Program Files\DAEMON Tools Lite\DTLite.exe [357696 2010-04-01] (DT Soft Ltd) HKCU\...\Run: [OfficeSyncProcess] - C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE [720064 2013-04-22] (Microsoft Corporation) Startup: C:\Users\Andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk ShortcutTarget: Dropbox.lnk -> C:\Users\Andy\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x408CE26C3293CC01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de SearchScopes: HKLM - DefaultScope value is missing. BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.) BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) BHO: DivX Plus Web Player HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation) BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.) Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.178.1 FireFox: ======== FF ProfilePath: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default FF SelectedSearchEngine: Google FF Homepage: hxxp://www.google.de/ FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF Plugin: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF Plugin: @divx.com/DivX Browser Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 - C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF Plugin: @java.com/DTPlugin,version=1.6.0_35 - C:\Windows\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation) FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-11.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-12.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-13.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-14.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-15.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-16.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-17.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-18.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-19.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-20.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-21.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-22.xml FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\searchplugins-backup FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml FF Extension: seo4firefox - C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\Extensions\seo4firefox@seobook.com.xpi FF Extension: Skype Click to Call - C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF Extension: DivX Plus Web Player HTML5 <video> - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] - C:\Users\Andy\AppData\Roaming\11001.065 ========================== Services (Whitelisted) ================= ==================== Drivers (Whitelisted) ==================== R0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-07-24] () U3 a8p144jr; C:\Windows\System32\Drivers\a8p144jr.sys [0 ] (Microsoft Corporation) S3 catchme; \??\C:\Users\Andy\AppData\Local\Temp\catchme.sys [x] S3 EverestDriver; \??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [x] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x] S3 tsusbhub; system32\drivers\tsusbhub.sys [x] S3 VGPU; System32\drivers\rdvgkmd.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-10-10 23:01 - 2013-10-10 23:01 - 01087213 _____ (Farbar) C:\Users\Andy\Downloads\FRST.exe 2013-10-09 22:33 - 2013-09-14 02:48 - 00338944 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys 2013-10-09 22:33 - 2013-09-08 04:07 - 01294272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys 2013-10-09 22:33 - 2013-09-08 04:03 - 00231424 _____ (Microsoft Corporation) C:\Windows\system32\mswsock.dll 2013-10-09 22:33 - 2013-08-29 03:51 - 03969472 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe 2013-10-09 22:33 - 2013-08-29 03:51 - 03914176 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe 2013-10-09 22:33 - 2013-08-29 03:50 - 01289096 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll 2013-10-09 22:33 - 2013-08-29 03:50 - 00619520 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll 2013-10-09 22:33 - 2013-08-29 03:48 - 00640512 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll 2013-10-09 22:33 - 2013-08-28 02:57 - 00434688 _____ (Microsoft Corporation) C:\Windows\system32\scavengeui.dll 2013-10-09 22:33 - 2013-08-01 13:03 - 00729024 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dxgkrnl.sys 2013-10-09 22:33 - 2013-07-20 12:33 - 00102608 _____ (Microsoft Corporation) C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll 2013-10-09 22:33 - 2013-07-04 13:50 - 00530432 _____ (Microsoft Corporation) C:\Windows\system32\comctl32.dll 2013-10-09 22:33 - 2013-07-03 06:02 - 00036352 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbscan.sys 2013-10-09 22:33 - 2013-07-03 05:36 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidclass.sys 2013-10-09 22:33 - 2013-07-03 05:36 - 00025728 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidparse.sys 2013-10-09 22:33 - 2013-06-06 06:52 - 00026112 _____ (Microsoft Corporation) C:\Windows\system32\lpk.dll 2013-10-09 22:33 - 2013-06-06 06:51 - 00070656 _____ (Microsoft Corporation) C:\Windows\system32\fontsub.dll 2013-10-09 22:33 - 2013-06-06 06:50 - 00010240 _____ (Microsoft Corporation) C:\Windows\system32\dciman32.dll 2013-10-09 22:33 - 2013-06-06 05:01 - 00295424 _____ (Adobe Systems Incorporated) C:\Windows\system32\atmfd.dll 2013-10-09 22:33 - 2013-06-06 05:01 - 00034304 _____ (Adobe Systems) C:\Windows\system32\atmlib.dll 2013-10-09 22:32 - 2013-10-09 22:32 - 00891167 _____ C:\Users\Andy\Downloads\SecurityCheck.exe 2013-10-09 22:32 - 2013-08-28 03:04 - 02348544 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys 2013-10-09 22:32 - 2013-07-12 12:07 - 00086016 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbcir.sys 2013-10-09 22:32 - 2013-07-12 12:07 - 00080896 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\USBAUDIO.sys 2013-10-09 22:32 - 2013-07-04 13:57 - 00205824 _____ (Microsoft Corporation) C:\Windows\system32\WebClnt.dll 2013-10-09 22:32 - 2013-07-04 13:51 - 00081920 _____ (Microsoft Corporation) C:\Windows\system32\davclnt.dll 2013-10-09 22:32 - 2013-07-04 11:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys 2013-10-09 22:32 - 2013-06-26 00:56 - 00527064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\Wdf01000.sys 2013-10-09 21:40 - 2013-10-09 21:40 - 02347384 _____ (ESET) C:\Users\Andy\Downloads\esetsmartinstaller_enu.exe 2013-10-09 21:38 - 2013-10-09 21:38 - 00000993 _____ C:\Users\Andy\Desktop\JRT.txt 2013-10-09 21:33 - 2013-10-09 21:33 - 00000000 ____D C:\Windows\ERUNT 2013-10-09 21:32 - 2013-10-09 21:32 - 01032220 _____ (Thisisu) C:\Users\Andy\Downloads\JRT.exe 2013-10-08 16:40 - 2013-10-08 16:40 - 00011178 _____ C:\ComboFix.txt 2013-10-08 16:28 - 2013-10-08 16:40 - 00000000 ____D C:\Qoobox 2013-10-08 16:28 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe 2013-10-08 16:28 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe 2013-10-08 16:28 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2013-10-08 16:28 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2013-10-08 16:28 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2013-10-08 16:28 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe 2013-10-08 16:28 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe 2013-10-08 16:28 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe 2013-10-08 16:27 - 2013-10-08 16:39 - 00000000 ____D C:\Windows\erdnt 2013-10-08 16:22 - 2013-10-08 16:23 - 05132072 ____R (Swearware) C:\Users\Andy\Downloads\ComboFix.exe 2013-10-07 20:15 - 2013-10-07 20:17 - 00000000 ____D C:\AdwCleaner 2013-10-07 20:14 - 2013-10-07 20:15 - 01045226 _____ C:\Users\Andy\Downloads\adwcleaner.exe 2013-10-07 19:36 - 2013-10-07 19:36 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-10-07 19:34 - 2013-10-07 20:12 - 00000000 ____D C:\Users\Andy\Desktop\mbar 2013-10-07 19:32 - 2013-10-07 19:33 - 12907592 _____ (Malwarebytes Corp.) C:\Users\Andy\Downloads\mbar-1.07.0.1005.exe 2013-09-15 19:30 - 2013-09-15 19:30 - 00000000 ____D C:\Program Files\Common Files\Skype 2013-09-15 18:23 - 2013-08-05 03:56 - 00133056 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ataport.sys 2013-09-15 18:23 - 2013-08-02 03:50 - 00169984 _____ (Microsoft Corporation) C:\Windows\system32\winsrv.dll 2013-09-15 18:23 - 2013-08-02 03:49 - 00868352 _____ (Microsoft Corporation) C:\Windows\system32\kernel32.dll 2013-09-15 18:23 - 2013-08-02 03:49 - 00293376 _____ (Microsoft Corporation) C:\Windows\system32\KernelBase.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00005120 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processthreads-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-synch-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-misc-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localregistry-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localization-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-memory-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-interlocked-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-heap-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-string-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-profile-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-io-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-handle-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-fibers-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-delayload-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-debug-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-datetime-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-console-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 02:52 - 00271360 _____ (Microsoft Corporation) C:\Windows\system32\conhost.exe 2013-09-15 18:23 - 2013-08-02 02:43 - 00006144 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-security-base-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 02:43 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-threadpool-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 02:43 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-xstate-l1-1-0.dll 2013-09-15 18:23 - 2013-08-02 02:43 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-util-l1-1-0.dll 2013-09-15 18:23 - 2013-07-26 03:55 - 12872704 _____ (Microsoft Corporation) C:\Windows\system32\shell32.dll 2013-09-15 18:23 - 2013-07-26 03:55 - 00180224 _____ (Microsoft Corporation) C:\Windows\system32\shdocvw.dll ==================== One Month Modified Files and Folders ======= 2013-10-10 23:03 - 2010-07-24 11:39 - 01302349 _____ C:\Windows\WindowsUpdate.log 2013-10-10 23:01 - 2013-10-10 23:01 - 01087213 _____ (Farbar) C:\Users\Andy\Downloads\FRST.exe 2013-10-10 23:00 - 2010-08-09 13:01 - 00000000 ____D C:\Users\Andy\AppData\Roaming\Dropbox 2013-10-10 22:59 - 2010-08-09 16:01 - 00000000 ___RD C:\My Dropbox 2013-10-10 22:59 - 2010-07-26 13:19 - 00049478 _____ C:\Users\Andy\AppData\Roaming\nvModes.001 2013-10-10 22:59 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET 2013-10-10 22:58 - 2011-07-14 17:07 - 00058776 _____ C:\Windows\setupact.log 2013-10-10 22:58 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT 2013-10-10 22:58 - 2006-01-10 00:47 - 00409432 _____ C:\Windows\system32\FNTCACHE.DAT 2013-10-10 22:57 - 2011-10-16 15:12 - 00088524 _____ C:\Windows\PFRO.log 2013-10-10 22:57 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\de-DE 2013-10-10 22:57 - 2006-01-09 23:51 - 00006160 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2013-10-10 22:57 - 2006-01-09 23:51 - 00006160 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2013-10-09 22:58 - 2010-07-24 12:55 - 00000000 ____D C:\ProgramData\Microsoft Help 2013-10-09 22:53 - 2013-08-26 21:01 - 00000000 ____D C:\Windows\system32\MRT 2013-10-09 22:51 - 2013-04-18 21:00 - 00000000 ____D C:\Program Files\Microsoft Silverlight 2013-10-09 22:51 - 2009-10-14 04:21 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe 2013-10-09 22:47 - 2009-11-10 20:44 - 01528474 _____ C:\Windows\system32\PerfStringBackup.INI 2013-10-09 22:32 - 2013-10-09 22:32 - 00891167 _____ C:\Users\Andy\Downloads\SecurityCheck.exe 2013-10-09 21:40 - 2013-10-09 21:40 - 02347384 _____ (ESET) C:\Users\Andy\Downloads\esetsmartinstaller_enu.exe 2013-10-09 21:38 - 2013-10-09 21:38 - 00000993 _____ C:\Users\Andy\Desktop\JRT.txt 2013-10-09 21:33 - 2013-10-09 21:33 - 00000000 ____D C:\Windows\ERUNT 2013-10-09 21:32 - 2013-10-09 21:32 - 01032220 _____ (Thisisu) C:\Users\Andy\Downloads\JRT.exe 2013-10-08 16:40 - 2013-10-08 16:40 - 00011178 _____ C:\ComboFix.txt 2013-10-08 16:40 - 2013-10-08 16:28 - 00000000 ____D C:\Qoobox 2013-10-08 16:40 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Default 2013-10-08 16:40 - 2009-07-14 04:37 - 00000000 ___RD C:\Users\Public 2013-10-08 16:39 - 2013-10-08 16:27 - 00000000 ____D C:\Windows\erdnt 2013-10-08 16:38 - 2009-07-14 04:04 - 00000215 _____ C:\Windows\system.ini 2013-10-08 16:23 - 2013-10-08 16:22 - 05132072 ____R (Swearware) C:\Users\Andy\Downloads\ComboFix.exe 2013-10-07 20:17 - 2013-10-07 20:15 - 00000000 ____D C:\AdwCleaner 2013-10-07 20:15 - 2013-10-07 20:14 - 01045226 _____ C:\Users\Andy\Downloads\adwcleaner.exe 2013-10-07 20:12 - 2013-10-07 19:34 - 00000000 ____D C:\Users\Andy\Desktop\mbar 2013-10-07 19:36 - 2013-10-07 19:36 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-10-07 19:33 - 2013-10-07 19:32 - 12907592 _____ (Malwarebytes Corp.) C:\Users\Andy\Downloads\mbar-1.07.0.1005.exe 2013-09-16 19:28 - 2010-10-02 17:51 - 00000000 ___RD C:\Movies 2013-09-15 19:30 - 2013-09-15 19:30 - 00000000 ____D C:\Program Files\Common Files\Skype 2013-09-15 19:30 - 2010-07-28 11:06 - 00000000 ___RD C:\Program Files\Skype 2013-09-14 02:48 - 2013-10-09 22:33 - 00338944 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2006-01-10 00:13 ==================== End Of Log ============================ und die Addition.txt Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x86) Version: 03-10-2013 Ran by Andy at 2013-10-10 23:04:25 Running from C:\Users\Andy\Downloads Boot Mode: Normal ========================================================== ==================== Security Center ======================== AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} ==================== Installed Programs ====================== 1310 (Version: 130.0.365.000) 1310_Help (Version: 82.0.58.000) 1310Trb (Version: 82.0.242.000) 32 Bit HP CIO Components Installer (Version: 6.1.1) Adobe Flash Player 10 Plugin (Version: 10.3.181.26) Adobe Flash Player 11 ActiveX (Version: 11.0.1.152) Adobe Reader X (10.1.0) - Deutsch (Version: 10.1.0) Adobe Shockwave Player 11.5 (Version: 11.5.7.609) AIO_CDB_ProductContext (Version: 130.0.365.000) AIO_CDB_Software (Version: 130.0.365.000) AIO_Scan (Version: 130.0.421.000) BufferChm (Version: 130.0.331.000) Copy (Version: 130.0.428.000) Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition Destinations (Version: 130.0.0.0) DeviceDiscovery (Version: 130.0.465.000) DivX-Setup (Version: 2.6.1.9) DocProc (Version: 13.0.0.0) Dropbox (HKCU Version: 2.0.22) Everest Poker (Remove Only) Fax (Version: 130.0.418.000) FUSSBALL MANAGER 08 GPBaseService2 (Version: 130.0.371.000) HP Customer Participation Program 13.0 (Version: 13.0) HP Imaging Device Functions 13.0 (Version: 13.0) HP Photosmart Essential 3.5 (Version: 3.5) HP Photosmart Officejet and Deskjet All-In-One Driver Software 13.0 Rel. B (Version: 13.0) HP Smart Web Printing 4.51 (Version: 4.51) HP Solution Center 13.0 (Version: 13.0) HPPhotoGadget (Version: 130.0.282.000) HPPhotoSmartDiscLabelContent1 (Version: 2.04.0000) HPPhotosmartEssential (Version: 2.04.0000) HPProductAssistant (Version: 130.0.371.000) HPSSupply (Version: 130.0.371.000) Java Auto Updater (Version: 2.0.7.1) Java(TM) 6 Update 35 (Version: 6.0.350) MarketResearch (Version: 130.0.374.000) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319) Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319) Microsoft Office 2010 Service Pack 1 (SP1) Microsoft Office Access MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Excel MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Groove MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office InfoPath MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office OneNote MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Outlook MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office PowerPoint MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Professional Plus 2010 (Version: 14.0.6029.1000) Microsoft Office Proof (English) 2010 (Version: 14.0.6029.1000) Microsoft Office Proof (French) 2010 (Version: 14.0.6029.1000) Microsoft Office Proof (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Proof (Italian) 2010 (Version: 14.0.6029.1000) Microsoft Office Proofing (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Publisher MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Shared MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Office Word MUI (German) 2010 (Version: 14.0.6029.1000) Microsoft Silverlight (Version: 5.1.20913.0) Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (Version: 10.0.40219) Mozilla Firefox 11.0 (x86 de) (Version: 11.0) Mozilla Maintenance Service (Version: 17.0.8) Mozilla Thunderbird 17.0.8 (x86 de) (Version: 17.0.8) MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0) MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0) Network (Version: 130.0.572.000) NVIDIA Drivers OCR Software by I.R.I.S. 13.0 (Version: 13.0) PDF24 Creator 5.3.0 Scan (Version: 13.0.0.0) Shop for HP Supplies (Version: 13.0) Skype Click to Call (Version: 5.9.9216) Skype™ 5.10 (Version: 5.10.116) SmartWebPrinting (Version: 130.0.457.000) SolutionCenter (Version: 130.0.373.000) Status (Version: 130.0.469.000) TeamViewer 6 (Version: 6.0.10722) Toolbox (Version: 130.0.648.000) TrayApp (Version: 130.0.422.000) UnloadSupport (Version: 11.0.0) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1) Update for Microsoft .NET Framework 4 Client Profile (KB2836939v3) (Version: 3) Update for Microsoft Access 2010 (KB2553446) 32-Bit Edition Update for Microsoft Filter Pack 2.0 (KB2810071) 32-Bit Edition Update for Microsoft Office 2010 (KB2553065) Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition Update for Microsoft Office 2010 (KB2553310) 32-Bit Edition Update for Microsoft Office 2010 (KB2566458) Update for Microsoft Office 2010 (KB2589298) 32-Bit Edition Update for Microsoft Office 2010 (KB2589375) 32-Bit Edition Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition Update for Microsoft Office 2010 (KB2598242) 32-Bit Edition Update for Microsoft Office 2010 (KB2687503) 32-Bit Edition Update for Microsoft Office 2010 (KB2760598) 32-Bit Edition Update for Microsoft Office 2010 (KB2760631) 32-Bit Edition Update for Microsoft Office 2010 (KB2767886) 32-Bit Edition Update for Microsoft Office 2010 (KB2794737) 32-Bit Edition Update for Microsoft Office 2010 (KB2825640) 32-Bit Edition Update for Microsoft Office 2010 (KB2826026) 32-Bit Edition Update for Microsoft OneNote 2010 (KB2553290) 32-Bit Edition Update for Microsoft OneNote 2010 (KB2810072) 32-Bit Edition Update for Microsoft Outlook 2010 (KB2687623) 32-Bit Edition Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition Update for Microsoft PowerPoint 2010 (KB2553145) 32-Bit Edition Update for Microsoft SharePoint Workspace 2010 (KB2589371) 32-Bit Edition Update for Microsoft Visio Viewer 2010 (KB2810066) 32-Bit Edition Update for Microsoft Word 2010 (KB2827323) 32-Bit Edition VC80CRTRedist - 8.0.50727.6195 (Version: 1.2.0) WebReg (Version: 130.0.132.017) WinRAR ==================== Restore Points ========================= ==================== Hosts content: ========================== 2009-07-14 04:04 - 2013-10-08 16:38 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 localhost ==================== Scheduled Tasks (whitelisted) ============= Task: {58C5EB62-F698-4FFA-88A0-1C2A1C619BDA} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc Task: {EE9FA0B5-93D0-4181-9B90-76C924580AAC} - System32\Tasks\{E5CFF74C-DDC0-4670-B094-922C854795BC} => C:\Program Files\Skype\Phone\Skype.exe [2013-06-21] (Skype Technologies S.A.) ==================== Loaded Modules (whitelisted) ============= 2011-03-17 00:11 - 2011-03-17 00:11 - 04297568 _____ () C:\Program Files\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF 2010-07-24 13:05 - 2010-03-15 11:28 - 00141824 _____ () C:\Program Files\WinRAR\rarext.dll 2013-03-13 22:48 - 2013-03-13 22:48 - 24978944 _____ () C:\Users\Andy\AppData\Roaming\Dropbox\bin\libcef.dll 2011-05-07 15:50 - 2012-04-08 23:41 - 01969080 _____ () C:\Program Files\Mozilla Firefox\mozjs.dll 2010-07-24 18:31 - 2011-06-17 10:37 - 06271136 _____ () C:\Windows\system32\Macromed\Flash\NPSWF32.dll ==================== Alternate Data Streams (whitelisted) ========= ==================== Safe Mode (whitelisted) =================== ==================== Faulty Device Manager Devices ============= Name: USB2.0 Camera Description: USB2.0 Camera Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Massenspeichercontroller Description: Massenspeichercontroller Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Coprozessor Description: Coprozessor Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ==================== Event log errors: ========================= Application errors: ================== System errors: ============= Error: (10/09/2013 10:50:43 PM) (Source: volsnap) (User: ) Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte. Error: (10/09/2013 10:13:43 PM) (Source: volsnap) (User: ) Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte. Microsoft Office Sessions: ========================= ==================== Memory info =========================== Percentage of memory in use: 52% Total physical RAM: 2302.67 MB Available physical RAM: 1091.96 MB Total Pagefile: 3444.24 MB Available Pagefile: 2264.13 MB Total Virtual: 2047.88 MB Available Virtual: 1930 MB ==================== Drives ================================ Drive b: (Volume) (Fixed) (Total:36.13 GB) (Free:15.02 GB) NTFS Drive c: () (Fixed) (Total:38.3 GB) (Free:1.08 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 75 GB) (Disk ID: D2C547FC) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=38 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=36 GB) - (Type=07 NTFS) ==================== End Of Log ============================ |
11.10.2013, 15:59 | #13 |
/// Helfer-Team | GVU Trojaner auf Windows 7 Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] - C:\Users\Andy\AppData\Roaming\11001.065 U3 a8p144jr; C:\Windows\System32\Drivers\a8p144jr.sys [0 ] (Microsoft Corporation) C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck |
11.10.2013, 17:50 | #14 |
| GVU Trojaner auf Windows 7 Fixlist.exe Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-10-2013 Ran by Andy at 2013-10-11 18:28:13 Run:2 Running from C:\Users\Andy\Downloads Boot Mode: Normal ============================================== Content of fixlist: ***************** FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] - C:\Users\Andy\AppData\Roaming\11001.065 U3 a8p144jr; C:\Windows\System32\Drivers\a8p144jr.sys [0 ] (Microsoft Corporation) C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll ***************** HKCU\Software\Mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} => Value deleted successfully. a8p144jr => Service not found. C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll => Moved successfully. ==== End of Fixlog ==== hat keine Malware gefunden daher auch kein Clean -Up gemacht PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Firefox 11.0 ist veraltet! Flash 10,3,181,26 ist veraltet! Aktualisieren Sie bitte auf die neueste Version! Java (1,7,0,40) ist aktuell. Adobe Reader 10,1,0,534 ist veraltet! Aktualisieren Sie bitte auf die neueste Version: 11.0 Zurück |
12.10.2013, 11:55 | #15 |
/// Helfer-Team | GVU Trojaner auf Windows 7 Gut! Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.
gibt’s noch Probleme mit dem Rechner? |