Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GVU Trojaner auf Windows 7

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.10.2013, 14:53   #1
Andreas1000
 
GVU Trojaner auf Windows 7 - Icon21

GVU Trojaner auf Windows 7



Hallo,

ich hoffe ihr könnt uns helfen. Seit 1 Woche ist mein Laptop mit Windows 7 von dem Sperrbildschrim // GVU Trojaner befallen.
Es ist die Variante in der der abgesicherte Modus nicht mehr funktioniert. Wir haben schon mehrere Varianten / Videos probiert den Schädling loszuwerden aber allerdings ohne Erfolg. Daher bitten wir euch um Hilfe. Die FRST.txt haben wir erstellt, allerdings können wir Sie weder hochladen noch posten weil sie angeblich zu lang und zu groß ist... Haben wir was falsch gemacht?

Vielen lieben Dank im Voraus

Alt 03.10.2013, 15:45   #2
Andreas1000
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



So SRy
Gezippt hat es nun endlich funktioniert.

Wir danken euch jetzt schon herzlich!
__________________


Alt 04.10.2013, 21:43   #3
t'john
/// Helfer-Team
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7





Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
HKLM\...\Run: [DivXUpdate] - C:\Program Files\DivX\DivX Update\DivXUpdate.exe [1259376 2011-07-29] () 
HKLM\...\Run: [AVSetupPending] - C:\Windows\Temp\AVSETUP_521ce13b\SetupPending.exe <===== ATTENTION 
HKU\Andy\...\Run: [Userinit] - C:\Users\Andy\AppData\Roaming\appConf32.exe 
HKU\Andy\...\Winlogon: [Shell] explorer.exe,C:\Users\Andy\AppData\Roaming\data.dat [ 2013-07-09] () <==== ATTENTION 
S2 KMService; C:\Windows\system32\srvany.exe [8192 2003-04-18] () 
S2 AviraUpgradeService; "C:\Windows\Temp\AVSETUP_521ce13b\avupgsvc.exe" /TEMPSTART:""C:\Windows\Temp\AVSETUP_521ce13b\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" 
2013-09-18 20:20 - 2006-01-09 22:18 - 00000004 _____ C:\Users\Andy\AppData\Roaming\settings.ini 
2012-09-03 18:24 - 2012-09-03 18:24 - 00198288 _____ C:\Users\Andy\AppData\Roaming\AcroIEHelpe206.dll 
2012-09-03 18:24 - 2012-09-03 18:24 - 00007424 _____ C:\Users\Andy\AppData\Roaming\BAcroIEHelpe206.dll 
2012-07-15 10:32 - 2012-09-28 20:01 - 00000000 ____D C:\Users\Andy\AppData\Roaming\xmldm 
C:\Users\Andy\AppData\Roaming\settings.ini 
C:\Users\Andy\AppData\Roaming\i.ini 
C:\Users\Andy\AppData\Roaming\appConf32.exe
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



dann normal starten und:
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



dann:
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
__________________

Alt 07.10.2013, 18:28   #4
Andreas1000
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Hallo t`john,
vielen lieben Dank für deine Unterstützung. Hier das Fixlist.txt:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-10-2013
Ran by SYSTEM at 2006-01-10 00:07:27 Run:1
Running from G:\
Boot Mode: Recovery

==============================================

Content of fixlist:
*****************
HKLM\...\Run: [DivXUpdate] - C:\Program Files\DivX\DivX Update\DivXUpdate.exe [1259376 2011-07-29] () 
HKLM\...\Run: [AVSetupPending] - C:\Windows\Temp\AVSETUP_521ce13b\SetupPending.exe <===== ATTENTION 
HKU\Andy\...\Run: [Userinit] - C:\Users\Andy\AppData\Roaming\appConf32.exe 
HKU\Andy\...\Winlogon: [Shell] explorer.exe,C:\Users\Andy\AppData\Roaming\data.dat [ 2013-07-09] () <==== ATTENTION 
S2 KMService; C:\Windows\system32\srvany.exe [8192 2003-04-18] () 
S2 AviraUpgradeService; "C:\Windows\Temp\AVSETUP_521ce13b\avupgsvc.exe" /TEMPSTART:""C:\Windows\Temp\AVSETUP_521ce13b\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" 
2013-09-18 20:20 - 2006-01-09 22:18 - 00000004 _____ C:\Users\Andy\AppData\Roaming\settings.ini 
2012-09-03 18:24 - 2012-09-03 18:24 - 00198288 _____ C:\Users\Andy\AppData\Roaming\AcroIEHelpe206.dll 
2012-09-03 18:24 - 2012-09-03 18:24 - 00007424 _____ C:\Users\Andy\AppData\Roaming\BAcroIEHelpe206.dll 
2012-07-15 10:32 - 2012-09-28 20:01 - 00000000 ____D C:\Users\Andy\AppData\Roaming\xmldm 
C:\Users\Andy\AppData\Roaming\settings.ini 
C:\Users\Andy\AppData\Roaming\i.ini 
C:\Users\Andy\AppData\Roaming\appConf32.exe
         
*****************

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\DivXUpdate => Value deleted successfully.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\AVSetupPending => Value deleted successfully.
HKU\Andy\Software\Microsoft\Windows\CurrentVersion\Run\\Userinit => Value deleted successfully.
HKU\Andy\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
KMService => Service deleted successfully.
AviraUpgradeService => Service deleted successfully.
C:\Users\Andy\AppData\Roaming\settings.ini  => Moved successfully.
C:\Users\Andy\AppData\Roaming\AcroIEHelpe206.dll  => Moved successfully.
C:\Users\Andy\AppData\Roaming\BAcroIEHelpe206.dll  => Moved successfully.
C:\Users\Andy\AppData\Roaming\xmldm  => Moved successfully.
"C:\Users\Andy\AppData\Roaming\settings.ini " => File/Directory not found.
"C:\Users\Andy\AppData\Roaming\i.ini " => File/Directory not found.
"C:\Users\Andy\AppData\Roaming\appConf32.exe" => File/Directory not found.

==== End of Fixlog ====
         
Ich hoffe ich habe alles richtig gemacht..

Grüße

Alt 07.10.2013, 19:09   #5
t'john
/// Helfer-Team
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Schritt 2 und 3?

__________________
Mfg, t'john
Das TB unterstützen

Alt 07.10.2013, 19:20   #6
Andreas1000
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



m-bar log
Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.07.0.1005
www.malwarebytes.org

Database version: v2013.10.07.09

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16576
Andy :: ANDY-PC [administrator]

07.10.2013 19:53:26
mbar-log-2013-10-07 (19-53-26).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Kernel memory modifications detected. Deep Anti-Rootkit Scan engaged.
Objects scanned: 195839
Time elapsed: 7 minute(s), 45 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 9
HKCU\SOFTWARE\CLASSES\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\linkd.AIEbho (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\linkd.AIEbho.1 (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\CLSID\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\linkrd.AIEbho (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\linkrdr.AIEbho (Trojan.Banker) -> Delete on reboot.
HKCU\SOFTWARE\CLASSES\linkrdr.AIEbho.1 (Trojan.Banker) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\Users\Andy\AppData\Roaming\data.dat (Trojan.Ransom.Gend) -> Delete on reboot.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         
So und nun auch Schritt 3

Code:
ATTFilter
# AdwCleaner v3.006 - Bericht erstellt am 07/10/2013 um 20:17:29
# Updated 01/10/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (32 bits)
# Benutzername : Andy - ANDY-PC
# Gestartet von : C:\Users\Andy\Downloads\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Users\Andy\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\Andy\AppData\LocalLow\incredibar.com
Ordner Gelöscht : C:\Users\Andy\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Program Files\Mozilla Firefox\Extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-1.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-10.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-2.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-3.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-4.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-5.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-6.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-7.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-8.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-9.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\MyStart Search.xml
Datei Gelöscht : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\user.js

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Incredibar.IncredibarHlpr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Incredibar.IncredibarHlpr.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{67C71B35-A416-4A54-BD1D-15965A4FE41C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKCU\Software\Grand Virtual
Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar

***** [ Browser ] *****

-\\ Internet Explorer v10.0.9200.16576

Einstellung Wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v11.0 (de)

[ Datei : C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\prefs.js ]

Zeile gelöscht : user_pref("browser.search.defaultenginename", "MyStart Search");
Zeile gelöscht : user_pref("extensions.facemoods.aflt", "_#pni");
Zeile gelöscht : user_pref("extensions.facemoods.firstRun", false);
Zeile gelöscht : user_pref("extensions.incredibar.actvtyRptTime", "1325518315768");
Zeile gelöscht : user_pref("extensions.incredibar.admin", false);
Zeile gelöscht : user_pref("extensions.incredibar.aflt", "orgnl");
Zeile gelöscht : user_pref("extensions.incredibar.cntry", "DE");
Zeile gelöscht : user_pref("extensions.incredibar.dfltLng", "");
Zeile gelöscht : user_pref("extensions.incredibar.dfltSrch", false);
Zeile gelöscht : user_pref("extensions.incredibar.did", "10595");
Zeile gelöscht : user_pref("extensions.incredibar.hdrMd5", "52D53113F20A9EF9803F4F7E705B76E1");
Zeile gelöscht : user_pref("extensions.incredibar.hmpg", false);
Zeile gelöscht : user_pref("extensions.incredibar.id", "888fd61300000000000000197d6a4c67");
Zeile gelöscht : user_pref("extensions.incredibar.installerproductid", "26");
Zeile gelöscht : user_pref("extensions.incredibar.instlDay", "15341");
Zeile gelöscht : user_pref("extensions.incredibar.instlRef", "");
Zeile gelöscht : user_pref("extensions.incredibar.lastVrsnTs", "1.5.3.2716:29:45");
Zeile gelöscht : user_pref("extensions.incredibar.newTab", false);
Zeile gelöscht : user_pref("extensions.incredibar.noFFXTlbr", false);
Zeile gelöscht : user_pref("extensions.incredibar.ppd", "");
Zeile gelöscht : user_pref("extensions.incredibar.prdct", "incredibar");
Zeile gelöscht : user_pref("extensions.incredibar.productid", "26");
Zeile gelöscht : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Zeile gelöscht : user_pref("extensions.incredibar.sg", "none");
Zeile gelöscht : user_pref("extensions.incredibar.smplGrp", "none");
Zeile gelöscht : user_pref("extensions.incredibar.tlbrId", "base");
Zeile gelöscht : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6PQk6J5Hsm&loc=IB_TB&i=26&search=");
Zeile gelöscht : user_pref("extensions.incredibar.upn2", "6PQk6J5Hsm");
Zeile gelöscht : user_pref("extensions.incredibar.upn2n", "92542130789736306");
Zeile gelöscht : user_pref("extensions.incredibar.vrsn", "1.5.3.27");
Zeile gelöscht : user_pref("extensions.incredibar.vrsnTs", "1.5.3.2716:29:45");
Zeile gelöscht : user_pref("extensions.incredibar.vrsni", "1.5.3.27");
Zeile gelöscht : user_pref("extensions.incredibar.xpeToaster\\lastCall", "1325518333405");
Zeile gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl");
Zeile gelöscht : user_pref("extensions.incredibar_i.dfltLng", "");
Zeile gelöscht : user_pref("extensions.incredibar_i.did", "10595");
Zeile gelöscht : user_pref("extensions.incredibar_i.excTlbr", "false");
Zeile gelöscht : user_pref("extensions.incredibar_i.hardId", "888fd61300000000000000197d6a4c67");
Zeile gelöscht : user_pref("extensions.incredibar_i.id", "888fd61300000000000000197d6a4c67");
Zeile gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26");
Zeile gelöscht : user_pref("extensions.incredibar_i.instlDay", "15341");
Zeile gelöscht : user_pref("extensions.incredibar_i.instlRef", "");
Zeile gelöscht : user_pref("extensions.incredibar_i.ms_url_id", "");
Zeile gelöscht : user_pref("extensions.incredibar_i.newTab", false);
Zeile gelöscht : user_pref("extensions.incredibar_i.ppd", "");
Zeile gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar");
Zeile gelöscht : user_pref("extensions.incredibar_i.productid", "26");
Zeile gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Zeile gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none");
Zeile gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base");
Zeile gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6PQk6J5Hsm&loc=IB_TB&i=26&search=");
Zeile gelöscht : user_pref("extensions.incredibar_i.upn2", "6PQk6J5Hsm");
Zeile gelöscht : user_pref("extensions.incredibar_i.upn2n", "92542130789736306");
Zeile gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.3.27");
Zeile gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.3.2716:29:45");
Zeile gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.3.27");
Zeile gelöscht : user_pref("icqtoolbar.allowSendURL", false);
Zeile gelöscht : user_pref("icqtoolbar.engineVerified", true);
Zeile gelöscht : user_pref("icqtoolbar.hiddenElements", "itb_options");
Zeile gelöscht : user_pref("icqtoolbar.history", "widerrufe||adobe%20acrobat%20writer%20kostenlos||%22adobe%20acrobat%20writer%20kostenlos%22||adobe%20acrobat%20writer%20kostenlos%20||%22acrobat%20adobe%20writer%22||%[...]
Zeile gelöscht : user_pref("icqtoolbar.installsource", "1");
Zeile gelöscht : user_pref("icqtoolbar.numberOfSearches", 0);
Zeile gelöscht : user_pref("icqtoolbar.previousFFVersion", "3.6.2");
Zeile gelöscht : user_pref("icqtoolbar.skip_default_search", "no");
Zeile gelöscht : user_pref("icqtoolbar.suggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.uniqueID", "120272021812027202181202908010496");
Zeile gelöscht : user_pref("icqtoolbar.usageStatstTimestamp", 1265745697);
Zeile gelöscht : user_pref("icqtoolbar.version", "1.1.4.1");
Zeile gelöscht : user_pref("icqtoolbar.xmlEnableSuggestions", false);
Zeile gelöscht : user_pref("icqtoolbar.xmlLanguage", "de");
Zeile gelöscht : user_pref("keyword.URL", "hxxp://start.facemoods.com/results.php?f=5&a=pni&q=");

*************************

AdwCleaner[R0].txt - [10573 octets] - [07/10/2013 20:15:32]
AdwCleaner[S0].txt - [10452 octets] - [07/10/2013 20:17:29]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [10513 octets] ##########
         
vielen lieben Dank

Alt 08.10.2013, 14:28   #7
t'john
/// Helfer-Team
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



ok:
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
Mfg, t'john
Das TB unterstützen

Alt 08.10.2013, 15:42   #8
Andreas1000
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Hallo t´john,

nachfolgend der Inhalt der Datei

Code:
ATTFilter
ComboFix 13-10-08.01 - Andy 08.10.2013  16:29:58.1.1 - x86
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.2303.1212 [GMT 2:00]
ausgeführt von:: c:\users\Andy\Downloads\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Andy\AppData\Roaming\11001.046
c:\users\Andy\AppData\Roaming\11001.046\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.046\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.046\install.rdf
c:\users\Andy\AppData\Roaming\11001.047
c:\users\Andy\AppData\Roaming\11001.047\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.047\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.047\install.rdf
c:\users\Andy\AppData\Roaming\11001.048
c:\users\Andy\AppData\Roaming\11001.048\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.048\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.048\components\AcroFF048.dll
c:\users\Andy\AppData\Roaming\11001.048\install.rdf
c:\users\Andy\AppData\Roaming\11001.049
c:\users\Andy\AppData\Roaming\11001.049\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.049\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.049\install.rdf
c:\users\Andy\AppData\Roaming\11001.050
c:\users\Andy\AppData\Roaming\11001.050\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.050\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.050\install.rdf
c:\users\Andy\AppData\Roaming\11001.051
c:\users\Andy\AppData\Roaming\11001.051\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.051\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.051\install.rdf
c:\users\Andy\AppData\Roaming\11001.052
c:\users\Andy\AppData\Roaming\11001.052\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.052\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.052\install.rdf
c:\users\Andy\AppData\Roaming\11001.054
c:\users\Andy\AppData\Roaming\11001.054\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.054\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.054\install.rdf
c:\users\Andy\AppData\Roaming\11001.055
c:\users\Andy\AppData\Roaming\11001.055\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.055\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.055\install.rdf
c:\users\Andy\AppData\Roaming\11001.058
c:\users\Andy\AppData\Roaming\11001.058\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.058\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.058\install.rdf
c:\users\Andy\AppData\Roaming\11001.059
c:\users\Andy\AppData\Roaming\11001.059\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.059\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.059\install.rdf
c:\users\Andy\AppData\Roaming\11001.063
c:\users\Andy\AppData\Roaming\11001.063\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.063\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.063\install.rdf
c:\users\Andy\AppData\Roaming\11001.064
c:\users\Andy\AppData\Roaming\11001.064\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.064\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.064\install.rdf
c:\users\Andy\AppData\Roaming\11001.065
c:\users\Andy\AppData\Roaming\11001.065\chrome.manifest
c:\users\Andy\AppData\Roaming\11001.065\components\AcroFF.txt
c:\users\Andy\AppData\Roaming\11001.065\components\AcroFF065.dll
c:\users\Andy\AppData\Roaming\11001.065\install.rdf
c:\users\Andy\AppData\Roaming\61ndxgs9.default.tmp
c:\users\Andy\AppData\Roaming\AcroIEHelpe.txt
c:\users\Andy\AppData\Roaming\BAcroIEHelpe185.dll
c:\users\Andy\AppData\Roaming\BAcroIEHelpe201.dll
c:\users\Andy\AppData\Roaming\BAcroIEHelpe203.dll
c:\users\Andy\AppData\Roaming\srvblck5.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-09-08 bis 2013-10-08  ))))))))))))))))))))))))))))))
.
.
2013-10-08 14:38 . 2013-10-08 14:38	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-10-07 18:15 . 2013-10-07 18:17	--------	d-----w-	C:\AdwCleaner
2013-10-07 17:39 . 2013-09-05 05:02	7328304	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{CF03AE41-D4D8-40A0-B8F5-D5AB9C146988}\mpengine.dll
2013-10-07 17:36 . 2013-10-07 17:36	--------	d-----w-	c:\programdata\Malwarebytes
2013-09-15 17:30 . 2013-09-15 17:30	--------	d-----w-	c:\program files\Common Files\Skype
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-08-07 02:22 . 2009-10-14 02:21	238872	------w-	c:\windows\system32\MpSigStub.exe
2013-07-25 08:57 . 2013-08-27 17:30	1620992	----a-w-	c:\windows\system32\WMVDECOD.DLL
2013-07-19 01:41 . 2013-08-27 17:29	2048	----a-w-	c:\windows\system32\tzres.dll
2012-04-08 21:41 . 2011-05-07 13:50	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\Andy\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\Andy\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\Andy\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"OfficeSyncProcess"="c:\program files\Microsoft Office\Office14\MSOSYNC.EXE" [2011-07-21 718720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2006-12-19 90191]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-12-19 7766016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-12-19 81920]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"PDFPrint"="c:\program files\pdf\pdf24.exe" [2013-02-19 162856]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
.
c:\users\Andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Andy\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-5-25 27776968]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2013-06-21 162408]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-07-24 691696]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: !HIDDEN! 2010-08-07 18:50; smartwebprinting@hp.com; c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-eyeBeam SIP Client - (no file)
AddRemove-Uninstall_is1 - c:\program files\Common Files\DVDVideoSoft\unins000.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\EverestDriver]
"ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-10-08  16:40:09
ComboFix-quarantined-files.txt  2013-10-08 14:40
.
Vor Suchlauf: 2.382.745.600 Bytes frei
Nach Suchlauf: 2.292.465.664 Bytes frei
.
- - End Of File - - 5287AF0BD14A79C87BA76381BA3C8901
A36C5E4F47E84449FF07ED3517B43A31
         
Dankeschön

Alt 08.10.2013, 19:52   #9
t'john
/// Helfer-Team
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Sehr gut!

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Alt 09.10.2013, 21:33   #10
Andreas1000
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Und weiter egth die lustige Fahrt...

Die JRT.txt
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.4 (10.06.2013:1)
OS: Windows 7 Ultimate x86
Ran by Andy on 09.10.2013 at 21:33:45,34
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\dt soft\daemon tools toolbar



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [File] C:\user.js
Emptied folder: C:\Users\Andy\AppData\Roaming\mozilla\firefox\profiles\61ndxgs9.default\minidumps [1 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 09.10.2013 at 21:38:14,62
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         
Hier die Eset log

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=ee8217b46828954998b4e59fc13bf700
# engine=15422
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-10-09 08:27:24
# local_time=2013-10-09 10:27:24 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 2794 132981635 0 0
# scanned=131824
# found=15
# cleaned=0
# scan_time=2649
sh=4D7825F94FE34D13C750CE3CF1D7833D8DDBBA07 ft=1 fh=984c2aaa076bb3fc vn="a variant of Win32/Spy.Banker.YZT trojan" ac=I fn="C:\FRST\Quarantine\AcroIEHelpe206.dll"
sh=AEF536D9FAF101EA55375AC722B76D3C51EA8260 ft=1 fh=cb2c5bec64fdaaec vn="a variant of Win32/Spy.Banker.YQR trojan" ac=I fn="C:\FRST\Quarantine\BAcroIEHelpe206.dll"
sh=CD43B3918625BBC7EB06790E9A81610C1B167047 ft=1 fh=0a97428908a22542 vn="a variant of Win32/Spy.Banker.YUN trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\BAcroIEHelpe185.dll.vir"
sh=506735513C42EFD6A3D650EC2AA19C9385C31900 ft=1 fh=d10e23fbe8fbe906 vn="probably a variant of Win32/Spy.Banker.YUN trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\BAcroIEHelpe201.dll.vir"
sh=454E3AF4913561F6733846214F7C12A5360D33CD ft=1 fh=0c43c72807fd50bb vn="probably a variant of Win32/Spy.Banker.YUN trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\BAcroIEHelpe203.dll.vir"
sh=78315DA14C794960F3CF13C401DF21800711EA1A ft=1 fh=1f3a2e03714439ad vn="a variant of Win32/Spy.Banker.YPK trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\11001.048\components\AcroFF048.dll.vir"
sh=54F5D5BA90F1D63CC2F2FECFD768B8F636CC0918 ft=1 fh=c3389fd058ad4498 vn="a variant of Win32/Spy.Banker.YPK trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Andy\AppData\Roaming\11001.065\components\AcroFF065.dll.vir"
sh=F66F6BB2222DAF27161B2D40D89F5DC057D53C3B ft=0 fh=0000000000000000 vn="Java/Exploit.CVE-2012-4681.B trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\7ac02ad2-76c8b377"
sh=E204F84E37A0495D06FEC90AD25FF3CDCE910191 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\7aabd897-127a1ac1"
sh=4787F4E7BA4D16CF569C41C77D55FDE806F90CBA ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.Agent.PQI trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\536650d8-5a05b3d8"
sh=D6F99641C5207612DFD958183E878A96C3C5677E ft=0 fh=0000000000000000 vn="Java/Exploit.CVE-2012-4681.K trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\6d7d629c-14e0ae6e"
sh=21F969B55DED8BC2CDFE786FCE7A0BF94F8249E1 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\783b8933-3ac64227"
sh=EFFB923AEC720558E847B1ACFDB2D54B10C1300A ft=1 fh=8d8edd95bdacb73d vn="a variant of Win32/Kryptik.BKTG trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\a621f3b-5cdf8a61"
sh=5825C91D0FFD36390DD3E033BE275092FEA0025D ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NTH trojan" ac=I fn="C:\Users\Andy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\55b1d2fe-45ab82ee"
sh=360CC015805515F1286CF93215013F556B276AA9 ft=1 fh=c293ce2007ab988b vn="a variant of Win32/Spy.Banker.YZT trojan" ac=I fn="C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll"
         
Security Check macht leider gar nichts und schreibt:

UNSUPPORTED OPERATING SYSTEM! ABORTED!

Alt 10.10.2013, 17:01   #11
t'john
/// Helfer-Team
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



oki

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________
Mfg, t'john
Das TB unterstützen

Alt 10.10.2013, 22:06   #12
Andreas1000
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Einen wunderschönen...

Nachfolgend die FRST.txt


FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013
Ran by Andy (administrator) on ANDY-PC on 10-10-2013 23:02:08
Running from C:\Users\Andy\Downloads
Microsoft Windows 7 Ultimate  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(TeamViewer GmbH) C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Geek Software GmbH) C:\Program Files\pdf\pdf24.exe
(DT Soft Ltd) C:\Program Files\DAEMON Tools Lite\DTLite.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
(Dropbox, Inc.) C:\Users\Andy\AppData\Roaming\Dropbox\bin\Dropbox.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
(Hewlett-Packard Co.) C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
(Hewlett-Packard) C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\plugin-container.exe
(Microsoft Corporation) C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NvSvc] - RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKLM\...\Run: [hpqSRMon] - C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [937920 2011-06-06] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [254696 2012-01-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [PDFPrint] - C:\Program Files\pdf\pdf24.exe [162856 2013-02-19] (Geek Software GmbH)
HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKCU\...\Run: [DAEMON Tools Lite] - C:\Program Files\DAEMON Tools Lite\DTLite.exe [357696 2010-04-01] (DT Soft Ltd)
HKCU\...\Run: [OfficeSyncProcess] - C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE [720064 2013-04-22] (Microsoft Corporation)
Startup: C:\Users\Andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\Users\Andy\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x408CE26C3293CC01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
SearchScopes: HKLM - DefaultScope value is missing.
BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (Hewlett-Packard Co.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: DivX Plus Web Player HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (Hewlett-Packard Co.)
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

FireFox:
========
FF ProfilePath: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default
FF SelectedSearchEngine: Google
FF Homepage: hxxp://www.google.de/
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF Plugin: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF Plugin: @divx.com/DivX Browser Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 - C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin: @java.com/DTPlugin,version=1.6.0_35 - C:\Windows\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.20913.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-11.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-12.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-13.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-14.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-15.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-16.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-17.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-18.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-19.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-20.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-21.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\icqplugin-22.xml
FF SearchPlugin: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\searchplugins\searchplugins-backup
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: seo4firefox - C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\61ndxgs9.default\Extensions\seo4firefox@seobook.com.xpi
FF Extension: Skype Click to Call - C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
FF Extension: Java Console - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5
FF Extension: DivX Plus Web Player HTML5 &lt;video&gt; - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF Extension: HP Smart Web Printing - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] - C:\Users\Andy\AppData\Roaming\11001.065

========================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================

R0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-07-24] ()
U3 a8p144jr; C:\Windows\System32\Drivers\a8p144jr.sys [0 ] (Microsoft Corporation)
S3 catchme; \??\C:\Users\Andy\AppData\Local\Temp\catchme.sys [x]
S3 EverestDriver; \??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [x]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x]
S3 tsusbhub; system32\drivers\tsusbhub.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-10 23:01 - 2013-10-10 23:01 - 01087213 _____ (Farbar) C:\Users\Andy\Downloads\FRST.exe
2013-10-09 22:33 - 2013-09-14 02:48 - 00338944 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys
2013-10-09 22:33 - 2013-09-08 04:07 - 01294272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-10-09 22:33 - 2013-09-08 04:03 - 00231424 _____ (Microsoft Corporation) C:\Windows\system32\mswsock.dll
2013-10-09 22:33 - 2013-08-29 03:51 - 03969472 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-10-09 22:33 - 2013-08-29 03:51 - 03914176 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-10-09 22:33 - 2013-08-29 03:50 - 01289096 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2013-10-09 22:33 - 2013-08-29 03:50 - 00619520 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll
2013-10-09 22:33 - 2013-08-29 03:48 - 00640512 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2013-10-09 22:33 - 2013-08-28 02:57 - 00434688 _____ (Microsoft Corporation) C:\Windows\system32\scavengeui.dll
2013-10-09 22:33 - 2013-08-01 13:03 - 00729024 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\dxgkrnl.sys
2013-10-09 22:33 - 2013-07-20 12:33 - 00102608 _____ (Microsoft Corporation) C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll
2013-10-09 22:33 - 2013-07-04 13:50 - 00530432 _____ (Microsoft Corporation) C:\Windows\system32\comctl32.dll
2013-10-09 22:33 - 2013-07-03 06:02 - 00036352 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbscan.sys
2013-10-09 22:33 - 2013-07-03 05:36 - 00055808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidclass.sys
2013-10-09 22:33 - 2013-07-03 05:36 - 00025728 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\hidparse.sys
2013-10-09 22:33 - 2013-06-06 06:52 - 00026112 _____ (Microsoft Corporation) C:\Windows\system32\lpk.dll
2013-10-09 22:33 - 2013-06-06 06:51 - 00070656 _____ (Microsoft Corporation) C:\Windows\system32\fontsub.dll
2013-10-09 22:33 - 2013-06-06 06:50 - 00010240 _____ (Microsoft Corporation) C:\Windows\system32\dciman32.dll
2013-10-09 22:33 - 2013-06-06 05:01 - 00295424 _____ (Adobe Systems Incorporated) C:\Windows\system32\atmfd.dll
2013-10-09 22:33 - 2013-06-06 05:01 - 00034304 _____ (Adobe Systems) C:\Windows\system32\atmlib.dll
2013-10-09 22:32 - 2013-10-09 22:32 - 00891167 _____ C:\Users\Andy\Downloads\SecurityCheck.exe
2013-10-09 22:32 - 2013-08-28 03:04 - 02348544 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-10-09 22:32 - 2013-07-12 12:07 - 00086016 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbcir.sys
2013-10-09 22:32 - 2013-07-12 12:07 - 00080896 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\USBAUDIO.sys
2013-10-09 22:32 - 2013-07-04 13:57 - 00205824 _____ (Microsoft Corporation) C:\Windows\system32\WebClnt.dll
2013-10-09 22:32 - 2013-07-04 13:51 - 00081920 _____ (Microsoft Corporation) C:\Windows\system32\davclnt.dll
2013-10-09 22:32 - 2013-07-04 11:48 - 00115712 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxdav.sys
2013-10-09 22:32 - 2013-06-26 00:56 - 00527064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\Wdf01000.sys
2013-10-09 21:40 - 2013-10-09 21:40 - 02347384 _____ (ESET) C:\Users\Andy\Downloads\esetsmartinstaller_enu.exe
2013-10-09 21:38 - 2013-10-09 21:38 - 00000993 _____ C:\Users\Andy\Desktop\JRT.txt
2013-10-09 21:33 - 2013-10-09 21:33 - 00000000 ____D C:\Windows\ERUNT
2013-10-09 21:32 - 2013-10-09 21:32 - 01032220 _____ (Thisisu) C:\Users\Andy\Downloads\JRT.exe
2013-10-08 16:40 - 2013-10-08 16:40 - 00011178 _____ C:\ComboFix.txt
2013-10-08 16:28 - 2013-10-08 16:40 - 00000000 ____D C:\Qoobox
2013-10-08 16:28 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2013-10-08 16:28 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2013-10-08 16:28 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-10-08 16:28 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-10-08 16:28 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-10-08 16:28 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2013-10-08 16:28 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2013-10-08 16:28 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2013-10-08 16:27 - 2013-10-08 16:39 - 00000000 ____D C:\Windows\erdnt
2013-10-08 16:22 - 2013-10-08 16:23 - 05132072 ____R (Swearware) C:\Users\Andy\Downloads\ComboFix.exe
2013-10-07 20:15 - 2013-10-07 20:17 - 00000000 ____D C:\AdwCleaner
2013-10-07 20:14 - 2013-10-07 20:15 - 01045226 _____ C:\Users\Andy\Downloads\adwcleaner.exe
2013-10-07 19:36 - 2013-10-07 19:36 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-10-07 19:34 - 2013-10-07 20:12 - 00000000 ____D C:\Users\Andy\Desktop\mbar
2013-10-07 19:32 - 2013-10-07 19:33 - 12907592 _____ (Malwarebytes Corp.) C:\Users\Andy\Downloads\mbar-1.07.0.1005.exe
2013-09-15 19:30 - 2013-09-15 19:30 - 00000000 ____D C:\Program Files\Common Files\Skype
2013-09-15 18:23 - 2013-08-05 03:56 - 00133056 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ataport.sys
2013-09-15 18:23 - 2013-08-02 03:50 - 00169984 _____ (Microsoft Corporation) C:\Windows\system32\winsrv.dll
2013-09-15 18:23 - 2013-08-02 03:49 - 00868352 _____ (Microsoft Corporation) C:\Windows\system32\kernel32.dll
2013-09-15 18:23 - 2013-08-02 03:49 - 00293376 _____ (Microsoft Corporation) C:\Windows\system32\KernelBase.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00005120 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-file-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-synch-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-misc-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00004096 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-localization-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-memory-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-heap-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-string-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-profile-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-io-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-handle-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-debug-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 03:48 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-console-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 02:52 - 00271360 _____ (Microsoft Corporation) C:\Windows\system32\conhost.exe
2013-09-15 18:23 - 2013-08-02 02:43 - 00006144 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-security-base-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 02:43 - 00004608 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 02:43 - 00003584 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2013-09-15 18:23 - 2013-08-02 02:43 - 00003072 ____H (Microsoft Corporation) C:\Windows\system32\api-ms-win-core-util-l1-1-0.dll
2013-09-15 18:23 - 2013-07-26 03:55 - 12872704 _____ (Microsoft Corporation) C:\Windows\system32\shell32.dll
2013-09-15 18:23 - 2013-07-26 03:55 - 00180224 _____ (Microsoft Corporation) C:\Windows\system32\shdocvw.dll

==================== One Month Modified Files and Folders =======

2013-10-10 23:03 - 2010-07-24 11:39 - 01302349 _____ C:\Windows\WindowsUpdate.log
2013-10-10 23:01 - 2013-10-10 23:01 - 01087213 _____ (Farbar) C:\Users\Andy\Downloads\FRST.exe
2013-10-10 23:00 - 2010-08-09 13:01 - 00000000 ____D C:\Users\Andy\AppData\Roaming\Dropbox
2013-10-10 22:59 - 2010-08-09 16:01 - 00000000 ___RD C:\My Dropbox
2013-10-10 22:59 - 2010-07-26 13:19 - 00049478 _____ C:\Users\Andy\AppData\Roaming\nvModes.001
2013-10-10 22:59 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-10-10 22:58 - 2011-07-14 17:07 - 00058776 _____ C:\Windows\setupact.log
2013-10-10 22:58 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-10 22:58 - 2006-01-10 00:47 - 00409432 _____ C:\Windows\system32\FNTCACHE.DAT
2013-10-10 22:57 - 2011-10-16 15:12 - 00088524 _____ C:\Windows\PFRO.log
2013-10-10 22:57 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\de-DE
2013-10-10 22:57 - 2006-01-09 23:51 - 00006160 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-10 22:57 - 2006-01-09 23:51 - 00006160 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-09 22:58 - 2010-07-24 12:55 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-10-09 22:53 - 2013-08-26 21:01 - 00000000 ____D C:\Windows\system32\MRT
2013-10-09 22:51 - 2013-04-18 21:00 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-10-09 22:51 - 2009-10-14 04:21 - 78106760 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe
2013-10-09 22:47 - 2009-11-10 20:44 - 01528474 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-09 22:32 - 2013-10-09 22:32 - 00891167 _____ C:\Users\Andy\Downloads\SecurityCheck.exe
2013-10-09 21:40 - 2013-10-09 21:40 - 02347384 _____ (ESET) C:\Users\Andy\Downloads\esetsmartinstaller_enu.exe
2013-10-09 21:38 - 2013-10-09 21:38 - 00000993 _____ C:\Users\Andy\Desktop\JRT.txt
2013-10-09 21:33 - 2013-10-09 21:33 - 00000000 ____D C:\Windows\ERUNT
2013-10-09 21:32 - 2013-10-09 21:32 - 01032220 _____ (Thisisu) C:\Users\Andy\Downloads\JRT.exe
2013-10-08 16:40 - 2013-10-08 16:40 - 00011178 _____ C:\ComboFix.txt
2013-10-08 16:40 - 2013-10-08 16:28 - 00000000 ____D C:\Qoobox
2013-10-08 16:40 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Default
2013-10-08 16:40 - 2009-07-14 04:37 - 00000000 ___RD C:\Users\Public
2013-10-08 16:39 - 2013-10-08 16:27 - 00000000 ____D C:\Windows\erdnt
2013-10-08 16:38 - 2009-07-14 04:04 - 00000215 _____ C:\Windows\system.ini
2013-10-08 16:23 - 2013-10-08 16:22 - 05132072 ____R (Swearware) C:\Users\Andy\Downloads\ComboFix.exe
2013-10-07 20:17 - 2013-10-07 20:15 - 00000000 ____D C:\AdwCleaner
2013-10-07 20:15 - 2013-10-07 20:14 - 01045226 _____ C:\Users\Andy\Downloads\adwcleaner.exe
2013-10-07 20:12 - 2013-10-07 19:34 - 00000000 ____D C:\Users\Andy\Desktop\mbar
2013-10-07 19:36 - 2013-10-07 19:36 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-10-07 19:33 - 2013-10-07 19:32 - 12907592 _____ (Malwarebytes Corp.) C:\Users\Andy\Downloads\mbar-1.07.0.1005.exe
2013-09-16 19:28 - 2010-10-02 17:51 - 00000000 ___RD C:\Movies
2013-09-15 19:30 - 2013-09-15 19:30 - 00000000 ____D C:\Program Files\Common Files\Skype
2013-09-15 19:30 - 2010-07-28 11:06 - 00000000 ___RD C:\Program Files\Skype
2013-09-14 02:48 - 2013-10-09 22:33 - 00338944 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\afd.sys

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2006-01-10 00:13

==================== End Of Log ============================
         
--- --- ---




und die Addition.txt


Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 03-10-2013
Ran by Andy at 2013-10-10 23:04:25
Running from C:\Users\Andy\Downloads
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

1310 (Version: 130.0.365.000)
1310_Help (Version: 82.0.58.000)
1310Trb (Version: 82.0.242.000)
32 Bit HP CIO Components Installer (Version: 6.1.1)
Adobe Flash Player 10 Plugin (Version: 10.3.181.26)
Adobe Flash Player 11 ActiveX (Version: 11.0.1.152)
Adobe Reader X (10.1.0) - Deutsch (Version: 10.1.0)
Adobe Shockwave Player 11.5 (Version: 11.5.7.609)
AIO_CDB_ProductContext (Version: 130.0.365.000)
AIO_CDB_Software (Version: 130.0.365.000)
AIO_Scan (Version: 130.0.421.000)
BufferChm (Version: 130.0.331.000)
Copy (Version: 130.0.428.000)
Definition Update for Microsoft Office 2010 (KB982726) 32-Bit Edition
Destinations (Version: 130.0.0.0)
DeviceDiscovery (Version: 130.0.465.000)
DivX-Setup (Version: 2.6.1.9)
DocProc (Version: 13.0.0.0)
Dropbox (HKCU Version: 2.0.22)
Everest Poker (Remove Only)
Fax (Version: 130.0.418.000)
FUSSBALL MANAGER 08
GPBaseService2 (Version: 130.0.371.000)
HP Customer Participation Program 13.0 (Version: 13.0)
HP Imaging Device Functions 13.0 (Version: 13.0)
HP Photosmart Essential 3.5 (Version: 3.5)
HP Photosmart Officejet and Deskjet All-In-One Driver Software 13.0 Rel. B (Version: 13.0)
HP Smart Web Printing 4.51 (Version: 4.51)
HP Solution Center 13.0 (Version: 13.0)
HPPhotoGadget (Version: 130.0.282.000)
HPPhotoSmartDiscLabelContent1 (Version: 2.04.0000)
HPPhotosmartEssential (Version: 2.04.0000)
HPProductAssistant (Version: 130.0.371.000)
HPSSupply (Version: 130.0.371.000)
Java Auto Updater (Version: 2.0.7.1)
Java(TM) 6 Update 35 (Version: 6.0.350)
MarketResearch (Version: 130.0.374.000)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319)
Microsoft Office 2010 Service Pack 1 (SP1)
Microsoft Office Access MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Excel MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Groove MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office InfoPath MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office OneNote MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Outlook MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office PowerPoint MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Professional Plus 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (English) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (French) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proof (Italian) 2010 (Version: 14.0.6029.1000)
Microsoft Office Proofing (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Publisher MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Shared MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Office Word MUI (German) 2010 (Version: 14.0.6029.1000)
Microsoft Silverlight (Version: 5.1.20913.0)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Mozilla Firefox 11.0 (x86 de) (Version: 11.0)
Mozilla Maintenance Service (Version: 17.0.8)
Mozilla Thunderbird 17.0.8 (x86 de) (Version: 17.0.8)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0)
Network (Version: 130.0.572.000)
NVIDIA Drivers
OCR Software by I.R.I.S. 13.0 (Version: 13.0)
PDF24 Creator 5.3.0
Scan (Version: 13.0.0.0)
Shop for HP Supplies (Version: 13.0)
Skype Click to Call (Version: 5.9.9216)
Skype™ 5.10 (Version: 5.10.116)
SmartWebPrinting (Version: 130.0.457.000)
SolutionCenter (Version: 130.0.373.000)
Status (Version: 130.0.469.000)
TeamViewer 6 (Version: 6.0.10722)
Toolbox (Version: 130.0.648.000)
TrayApp (Version: 130.0.422.000)
UnloadSupport (Version: 11.0.0)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939v3) (Version: 3)
Update for Microsoft Access 2010 (KB2553446) 32-Bit Edition
Update for Microsoft Filter Pack 2.0 (KB2810071) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553065)
Update for Microsoft Office 2010 (KB2553181) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553267) 32-Bit Edition
Update for Microsoft Office 2010 (KB2553310) 32-Bit Edition
Update for Microsoft Office 2010 (KB2566458)
Update for Microsoft Office 2010 (KB2589298) 32-Bit Edition
Update for Microsoft Office 2010 (KB2589375) 32-Bit Edition
Update for Microsoft Office 2010 (KB2596964) 32-Bit Edition
Update for Microsoft Office 2010 (KB2598242) 32-Bit Edition
Update for Microsoft Office 2010 (KB2687503) 32-Bit Edition
Update for Microsoft Office 2010 (KB2760598) 32-Bit Edition
Update for Microsoft Office 2010 (KB2760631) 32-Bit Edition
Update for Microsoft Office 2010 (KB2767886) 32-Bit Edition
Update for Microsoft Office 2010 (KB2794737) 32-Bit Edition
Update for Microsoft Office 2010 (KB2825640) 32-Bit Edition
Update for Microsoft Office 2010 (KB2826026) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2553290) 32-Bit Edition
Update for Microsoft OneNote 2010 (KB2810072) 32-Bit Edition
Update for Microsoft Outlook 2010 (KB2687623) 32-Bit Edition
Update for Microsoft Outlook Social Connector 2010 (KB2553406) 32-Bit Edition
Update for Microsoft PowerPoint 2010 (KB2553145) 32-Bit Edition
Update for Microsoft SharePoint Workspace 2010 (KB2589371) 32-Bit Edition
Update for Microsoft Visio Viewer 2010 (KB2810066) 32-Bit Edition
Update for Microsoft Word 2010 (KB2827323) 32-Bit Edition
VC80CRTRedist - 8.0.50727.6195 (Version: 1.2.0)
WebReg (Version: 130.0.132.017)
WinRAR

==================== Restore Points  =========================


==================== Hosts content: ==========================

2009-07-14 04:04 - 2013-10-08 16:38 - 00000027 ____A C:\Windows\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Scheduled Tasks (whitelisted) =============

Task: {58C5EB62-F698-4FFA-88A0-1C2A1C619BDA} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
Task: {EE9FA0B5-93D0-4181-9B90-76C924580AAC} - System32\Tasks\{E5CFF74C-DDC0-4670-B094-922C854795BC} => C:\Program Files\Skype\Phone\Skype.exe [2013-06-21] (Skype Technologies S.A.)

==================== Loaded Modules (whitelisted) =============

2011-03-17 00:11 - 2011-03-17 00:11 - 04297568 _____ () C:\Program Files\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF
2010-07-24 13:05 - 2010-03-15 11:28 - 00141824 _____ () C:\Program Files\WinRAR\rarext.dll
2013-03-13 22:48 - 2013-03-13 22:48 - 24978944 _____ () C:\Users\Andy\AppData\Roaming\Dropbox\bin\libcef.dll
2011-05-07 15:50 - 2012-04-08 23:41 - 01969080 _____ () C:\Program Files\Mozilla Firefox\mozjs.dll
2010-07-24 18:31 - 2011-06-17 10:37 - 06271136 _____ () C:\Windows\system32\Macromed\Flash\NPSWF32.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Name: USB2.0 Camera
Description: USB2.0 Camera
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Massenspeichercontroller
Description: Massenspeichercontroller
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Coprozessor
Description: Coprozessor
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================

System errors:
=============
Error: (10/09/2013 10:50:43 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.

Error: (10/09/2013 10:13:43 PM) (Source: volsnap) (User: )
Description: Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.


Microsoft Office Sessions:
=========================

==================== Memory info =========================== 

Percentage of memory in use: 52%
Total physical RAM: 2302.67 MB
Available physical RAM: 1091.96 MB
Total Pagefile: 3444.24 MB
Available Pagefile: 2264.13 MB
Total Virtual: 2047.88 MB
Available Virtual: 1930 MB

==================== Drives ================================

Drive b: (Volume) (Fixed) (Total:36.13 GB) (Free:15.02 GB) NTFS
Drive c: () (Fixed) (Total:38.3 GB) (Free:1.08 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 75 GB) (Disk ID: D2C547FC)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=38 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=36 GB) - (Type=07 NTFS)

==================== End Of Log ============================
         

Alt 11.10.2013, 15:59   #13
t'john
/// Helfer-Team
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] - C:\Users\Andy\AppData\Roaming\11001.065 
U3 a8p144jr; C:\Windows\System32\Drivers\a8p144jr.sys [0 ] (Microsoft Corporation)
C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.




Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers




Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die .exe-Datei
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 40 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.10.2013, 17:50   #14
Andreas1000
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Fixlist.exe

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-10-2013
Ran by Andy at 2013-10-11 18:28:13 Run:2
Running from C:\Users\Andy\Downloads
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
FF HKCU\...\Firefox\Extensions: [{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}] - C:\Users\Andy\AppData\Roaming\11001.065 
U3 a8p144jr; C:\Windows\System32\Drivers\a8p144jr.sys [0 ] (Microsoft Corporation)
C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll
*****************

HKCU\Software\Mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} => Value deleted successfully.
a8p144jr => Service not found.
C:\Users\Andy\AppData\Roaming\AcroIEHelpe203.dll => Moved successfully.

==== End of Fixlog ====
         
Malwarebytes Anti-Rootkit

hat keine Malware gefunden daher auch kein Clean -Up gemacht

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 11.0 ist veraltet!

Flash 10,3,181,26 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version!

Java (1,7,0,40) ist aktuell.

Adobe Reader 10,1,0,534 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0



Zurück

Alt 12.10.2013, 11:55   #15
t'john
/// Helfer-Team
 
GVU Trojaner auf Windows 7 - Standard

GVU Trojaner auf Windows 7



Gut!

Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.
  • Öffne die TFC.exe.
    Vista und Win 7 User mit Rechtsklick "als Administrator starten".
  • Schließe alle anderen Programme.
  • Drücke auf den Button Start.
  • Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.



gibt’s noch Probleme mit dem Rechner?
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu GVU Trojaner auf Windows 7
abgesicherte, angeblich, falsch, funktionier, hochladen, java/exploit.agent.nth, java/exploit.agent.pqi, java/exploit.cve-2012-4681.b, java/exploit.cve-2012-4681.k, laptop, lieben, loszuwerden, modus, nicht mehr, riskware.tool.ck, trojan.banker, trojan.ransom.gend, win32/kryptik.bktg, win32/spy.banker.ypk, win32/spy.banker.yqr, win32/spy.banker.yun, win32/spy.banker.yzt, windows 7




Ähnliche Themen: GVU Trojaner auf Windows 7


  1. Windows 7 SP 1 mit Trojaner infiziert - Windows Update Fehlercode 8007002
    Log-Analyse und Auswertung - 11.09.2015 (60)
  2. Windows 7: Trojaner - Windows Updates, Firewall defekt
    Log-Analyse und Auswertung - 20.03.2015 (24)
  3. Windows 7: Nach BKA Trojaner Fehlermeldung beim Starten, Windows Sicherheitscenter kann nicht gestartet werden
    Log-Analyse und Auswertung - 18.11.2014 (9)
  4. Windows-Verschlüsselungs-Trojaner unter Windows 7 auf einem MAC
    Log-Analyse und Auswertung - 14.06.2012 (3)
  5. windows verschlüsselungs Flirtfever-Trojaner, Windows XP
    Log-Analyse und Auswertung - 13.06.2012 (1)
  6. Nach BKA Trojaner, Windows Firewall deaktiviert sich (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  7. Willkomen bei Windows Update, Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 06.06.2012 (1)
  8. UKash Windows Secure Trojaner mit Windows XP eingefangen
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  9. Windows Notfall Sicherheits Update Center - Windows XP Trojaner
    Log-Analyse und Auswertung - 21.05.2012 (2)
  10. Windows-Verschlüsselungs-Trojaner unter Windows XP
    Log-Analyse und Auswertung - 16.05.2012 (9)
  11. Windows 7 (64bit) Virus/Trojaner (evtl. Windows Verschlüsselungs Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (19)
  12. Windows-Verschlüsselungs Trojaner Windows 7 Starter
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (10)
  13. Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (12)
  14. "Willkommen bei Windows Update Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 27.04.2012 (3)
  15. 'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !
    Log-Analyse und Auswertung - 16.03.2012 (5)
  16. Windows Vista Home Premium 32-Bit Trojaner Windows gesperrt 50€ zahlen.
    Log-Analyse und Auswertung - 23.01.2012 (1)
  17. Trojaner Fake.AV c:\Users\Sexgott\AppData\Roaming\microsoft\Windows\start menu\Programs\windows reco
    Mülltonne - 28.04.2011 (1)

Zum Thema GVU Trojaner auf Windows 7 - Hallo, ich hoffe ihr könnt uns helfen. Seit 1 Woche ist mein Laptop mit Windows 7 von dem Sperrbildschrim // GVU Trojaner befallen. Es ist die Variante in der der - GVU Trojaner auf Windows 7...
Archiv
Du betrachtest: GVU Trojaner auf Windows 7 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.