Trojaner-Board - GVU-Trojaner auf Windows 8

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU-Trojaner auf Windows 8 (https://www.trojaner-board.de/137803-gvu-trojaner-windows-8-a.html)

GVU-Trojaner auf Windows 8

Hallo Leute,

Ich habe mir einen GVU-Trojaner (bin mir sicher ,dass es einer ist, da ich hier Beiträge dazu gelesen habe) eingefangen. Auf dem Bildschirm ist diese Warnmeldung zu sehen nach der ich 100 euro zahlen soll ... die scheint typisch zu sein. Ich kann jedennfalls nichts machen. Ich weiß, dass ich bevor ich eine Frage hier stelle einige Programme installieren sollte und so , aber das habe ich noch nicht vollständig gemacht , da der laptop, den ich benutze ja gar kein Problem hat. Soll ich das trotzdem machen ?
Es gibt hier ja schon öfters Anfragen wegen dem GVU-Trojaner, aber was ich gelesen habe, ist die Hilfe für den einen evetuell schlecht für den anderen. Das hat mich verunsichert, da ich von Computern keine Ahnung habe, und deshalb denke ich ich brauche individuelle Hilfe. Ich habe gesehen, dass es notwendig ist zu wissen, wie viel B:kloppen:its der PC hat. Wie kann ich das herausfinden, wenn ich an ihm nichts mehr machen kann ?
Ich hoffe jemand kann mir helfen mit diesem sch*** Virus fertig zu werden.
Ich danke jedenfalls schonmal im Voraus.

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:
Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Vielen Dank erst einmal, dass du dich so schnell mit meinem Problem beschäftigst. Ich bin ein bisschen überfordert, da viele Begriffe hier für mich Fremdwörter sind (ich hab also vllt. was falsch verstanden). Ich habe mich an diese Anleitung gehalten, ich glaube die trifft auf mein Problem zu. :
Eingabeaufforderung im Reparaturmodus bei Windows 8
Benötigt für: Scan mit FRST im Reparaturmodus bei Sperrschirm oder Rootkit-Verdacht

Führe die folgenden Schritte aus:

Boote Windows 8 bis zur Kachelansicht oder bis zum Sperrschirm.
Drücke nun die Tastenkombination Strg-Alt-Entf.
Wichtig: Halte nun die SHIFT-Taste gedrückt während du unten rechts auf das Ausschaltsymbol klickst und danach auf Neustart / Restart.
Klicke nun in der Reihenfolge:
Problembehandlung > Erweiterte Optionen > Eingabeaufforderung
Nach einem Neustart wird eine Eingabeaufforderung angezeigt. Verfahre jetzt so weiter wie in deinem Thema beschrieben, z.b. mit dem FRST-Scan.

Es hat ersteinmal funktioniert und ich war bei dem normalen Desktop . Bevor ich aber auf Problembehandlung gehen konnte, kam wieder diese Wranmeldung und ich kann nichts machen außer den curser bewegen. Da ist diesmal aber noch eine Fehlermeldung die lautet : avgnt.exe - Fehler in Anwendung

Die Anweisung in 0x71b56d73 verweist auf Speicher 0x00000020. Der Vorgang read konnte nicht im Speicher durchgeführt werden.

Klicken Sie auf "OK", um das Programm zu beenden.

Ich habe irgendwo bei ner Diskussion gelesen,dass man das nicht machen soll´, weil es dann noch schlimmer wird. Stimmt das oder kann ich das einfach machen ? und was wenn dieser Sperrschirm danach auch noch nicht weg ist ?

entschuldigung,es ist vielleicht ein bisschen umständlich und übertrieben deshalb zu fragen, aber ich bin lieber übervorsichtig.

Klick OK; der Sperrbildschirm wird erst weg sein wenn Du FRST laufen lässt, mir das Log zeigst, und ich nen Fix dafür aus der Hüfte schieße ;)

ich denke ich habe es geschafft.

FRST Logfile:

Code:

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-07-2013

Ran by SYSTEM on 07-07-2013 00:39:01

Running from D:\

Windows 8 (X64) OS Language: German Standard

Internet Explorer Version 10

Boot Mode: Recovery
 

The current controlset is ControlSet001
 ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.
 

==================== Registry (Whitelisted) ==================
 

HKLM\...\Run: [RtHDVBg] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /SONYAPO  [1214608 2012-08-20] (Realtek Semiconductor)

HKLM\...\Run: [BtTray] "C:\Program Files (x86)\Bluetooth Suite\BtTray.exe" [764032 2012-08-13] (Qualcomm Atheros)

HKLM\...\Run: [BtvStack] "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe" [127616 2012-08-13] (Atheros Communications)

HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2916152 2012-08-21] (Synaptics Incorporated)

HKLM-x32\...\Run: [ISBMgr.exe] "C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe" [68776 2012-08-18] (Sony Corporation)

HKLM-x32\...\Run: [PMBVolumeWatcher] C:\Program Files (x86)\Sony\PlayMemories Home\PMBVolumeWatcher.exe [724576 2012-07-27] (Sony Corporation)

HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "c:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [35736 2010-11-15] (Adobe Systems Incorporated)

HKLM-x32\...\Run: [Adobe ARM] "c:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [932288 2010-11-15] (Adobe Systems Incorporated)

HKLM-x32\...\Run: [Intel AppUp(SM) center] "C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe" --domain-id F0399437-FD0C-4A48-B101-F0314A6172E4 [152896 2012-06-25] (Intel Corporation)

HKLM-x32\...\Run: []  [x]

HKLM-x32\...\Run: [ApnUpdater] "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [1648264 2013-04-30] (Ask)

HKLM-x32\...\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [345144 2013-07-01] (Avira Operations GmbH & Co. KG)

HKU\user\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\user\AppData\Local\Temp\qyegdoxqdtlkqfdgj.exe [43520 2013-07-06] (NVIDIA Corporation) <===== ATTENTION

HKU\user\...\Command Processor: "C:\Users\user\AppData\Local\Temp\qyegdoxqdtlkqfdgj.exe" <===== ATTENTION!
 

==================== Services (Whitelisted) =================
 

S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG)

S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG)

S2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [589368 2013-07-01] (Avira Operations GmbH & Co. KG)

S2 AtherosSvc; C:\Program Files (x86)\Bluetooth Suite\adminservice.exe [211584 2012-08-13] (Qualcomm Atheros Commnucations)

S2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [129856 2012-06-27] (Intel Corporation)

S2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [166720 2012-06-25] (Intel Corporation)

S3 NetworkSupport; C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkSupport.exe [623784 2012-08-18] (Sony Corporation)

S2 PMBDeviceInfoProvider; C:\Program Files (x86)\Sony\PlayMemories Home\PMBDeviceInfoProvider.exe [474208 2012-07-27] (Sony Corporation)

S2 SampleCollector; C:\Program Files\Sony\VAIO Care\VCPerfService.exe [156672 2012-08-06] ()

S3 VUAgent; C:\Program Files\Sony\VAIO Update\VUAgent.exe [1266336 2012-07-24] (Sony Corporation)

S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [14920 2013-01-29] (Microsoft Corporation)

S2 ZAtheros Bt&Wlan Coex Agent; C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [323584 2012-08-13] (Atheros)

S2 McOobeSv2; "C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe" /McCoreSvc [x]
 

==================== Drivers (Whitelisted) ====================
 

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [100712 2013-03-28] (Avira Operations GmbH & Co. KG)

S1 avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [130016 2013-03-28] (Avira Operations GmbH & Co. KG)

S1 avkmgr; C:\Windows\system32\DRIVERS\avkmgr.sys [28600 2013-03-28] (Avira Operations GmbH & Co. KG)

S3 BTATH_LWFLT; C:\Windows\system32\DRIVERS\btath_lwflt.sys [76952 2012-08-13] (Qualcomm Atheros)

S3 BTATH_VDP; C:\Windows\system32\drivers\btath_vdp.sys [427416 2012-08-13] (Qualcomm Atheros)

S3 BthLEEnum; C:\Windows\system32\DRIVERS\BthLEEnum.sys [202752 2012-07-26] (Microsoft Corporation)

S1 CLVirtualDrive; C:\Windows\system32\DRIVERS\CLVirtualDrive.sys [92536 2012-06-25] (CyberLink)

S3 SmbDrvI; C:\Windows\system32\DRIVERS\Smb_driver_Intel.sys [43832 2012-08-21] (Synaptics Incorporated)

S3 SOWS; C:\Windows\System32\drivers\sows.sys [24280 2012-06-11] (Sony Corporation)
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 

2013-07-07 00:38 - 2013-07-07 00:38 - 00000000 ____D C:\FRST

2013-07-06 08:49 - 2013-07-06 08:49 - 01084740 ____A C:\ProgramData\2433f433

2013-07-06 08:49 - 2013-07-06 08:49 - 01084737 ____A C:\Users\user\AppData\Roaming\2433f433

2013-07-06 08:49 - 2013-07-06 08:49 - 01084688 ____A C:\Users\user\AppData\Local\2433f433

2013-06-14 17:06 - 2013-05-04 08:45 - 02233600 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys

2013-06-14 17:06 - 2013-04-27 06:20 - 00733184 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll

2013-06-14 17:06 - 2013-04-24 00:13 - 01013248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certutil.exe

2013-06-14 17:06 - 2013-04-24 00:12 - 01569792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll

2013-06-14 17:06 - 2013-04-24 00:12 - 00109056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll

2013-06-14 17:06 - 2013-04-23 23:56 - 01255936 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe

2013-06-14 17:06 - 2013-04-23 23:55 - 01889280 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll

2013-06-14 17:06 - 2013-04-23 23:55 - 00141312 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll

2013-06-14 17:06 - 2013-04-23 23:55 - 00068096 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll

2013-06-14 17:06 - 2013-04-03 00:37 - 00025088 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptdlg.dll

2013-06-14 17:06 - 2013-04-03 00:12 - 00030720 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll

2013-06-14 17:05 - 2013-05-15 23:37 - 00044032 ____A (Microsoft Corporation) C:\Windows\SysWOW64\UXInit.dll

2013-06-14 17:05 - 2013-05-15 23:36 - 14320640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll

2013-06-14 17:05 - 2013-05-15 23:35 - 19230720 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll

2013-06-14 17:05 - 2013-05-15 23:35 - 00053760 ____A (Microsoft Corporation) C:\Windows\System32\UXInit.dll

2013-06-14 17:05 - 2013-05-14 14:14 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb

2013-06-14 17:05 - 2013-05-14 10:23 - 02706432 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb

2013-06-14 17:05 - 2013-04-28 23:30 - 13760512 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll

2013-06-14 17:05 - 2013-04-28 23:30 - 02877440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll

2013-06-14 17:05 - 2013-04-28 23:30 - 02046976 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll

2013-06-14 17:05 - 2013-04-28 23:30 - 01767936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll

2013-06-14 17:05 - 2013-04-28 23:30 - 01141248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll

2013-06-14 17:05 - 2013-04-28 23:30 - 00690688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll

2013-06-14 17:05 - 2013-04-28 23:30 - 00493056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll

2013-06-14 17:05 - 2013-04-28 23:28 - 03958784 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll

2013-06-14 17:05 - 2013-04-28 23:28 - 02241024 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll

2013-06-14 17:05 - 2013-04-28 23:28 - 01365504 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll

2013-06-14 17:05 - 2013-04-28 23:28 - 00915968 ____A (Microsoft Corporation) C:\Windows\System32\uxtheme.dll

2013-06-14 17:05 - 2013-04-28 23:28 - 00603136 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll

2013-06-14 17:05 - 2013-04-28 23:28 - 00051712 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe

2013-06-14 17:05 - 2013-04-28 23:27 - 15404544 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll

2013-06-14 17:05 - 2013-04-28 23:27 - 02647552 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll

2013-06-14 17:05 - 2013-04-28 23:27 - 00855552 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
 

==================== One Month Modified Files and Folders =======
 

2013-07-07 00:38 - 2013-07-07 00:38 - 00000000 ____D C:\FRST

2013-07-06 23:34 - 2013-01-10 09:18 - 00751892 ____A C:\Windows\System32\perfh007.dat

2013-07-06 23:34 - 2013-01-10 09:18 - 00155620 ____A C:\Windows\System32\perfc007.dat

2013-07-06 23:34 - 2012-07-26 08:28 - 01745416 ____A C:\Windows\System32\PerfStringBackup.INI

2013-07-06 23:22 - 2012-07-26 08:22 - 00000006 ___AH C:\Windows\Tasks\SA.DAT

2013-07-06 23:00 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\System32\sru

2013-07-06 22:54 - 2012-07-26 08:21 - 00027636 ____A C:\Windows\setupact.log

2013-07-06 22:38 - 2012-07-26 06:26 - 00262144 __ASH C:\Windows\System32\config\BBI

2013-07-06 22:37 - 2013-01-10 09:56 - 01550257 ____A C:\Windows\WindowsUpdate.log

2013-07-06 08:49 - 2013-07-06 08:49 - 01084740 ____A C:\ProgramData\2433f433

2013-07-06 08:49 - 2013-07-06 08:49 - 01084737 ____A C:\Users\user\AppData\Roaming\2433f433

2013-07-06 08:49 - 2013-07-06 08:49 - 01084688 ____A C:\Users\user\AppData\Local\2433f433

2013-07-05 16:02 - 2013-02-09 16:59 - 00000000 ____D C:\Users\user\Documents\anjana

2013-07-05 13:51 - 2013-03-01 20:34 - 00000000 ____D C:\Users\user\AppData\Local\DoNotTrackPlus

2013-07-04 18:15 - 2013-02-10 18:16 - 00000000 ____D C:\Users\user\AppData\Local\CrashDumps

2013-07-03 09:25 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\AUInstallAgent

2013-07-01 21:55 - 2013-05-13 17:22 - 00083672 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avnetflt.sys

2013-06-28 15:53 - 2013-04-16 21:59 - 00352135 ____A C:\Users\user\Desktop\Atlantiks Tochter Blue gelesen bis S. 183.odt

2013-06-28 15:53 - 2013-02-11 20:42 - 00052224 __ASH C:\Users\user\Desktop\Thumbs.db

2013-06-28 14:33 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\System32\NDF

2013-06-26 22:27 - 2012-08-03 03:22 - 00013812 ____A C:\Windows\PFRO.log

2013-06-16 09:06 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\rescache

2013-06-14 17:12 - 2013-02-09 15:47 - 75825640 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
 

==================== Known DLLs (Whitelisted) ================
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\SysWOW64\explorer.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\SysWOW64\svchost.exe => MD5 is legit

C:\Windows\System32\services.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\SysWOW64\User32.dll => MD5 is legit

C:\Windows\System32\userinit.exe => MD5 is legit

C:\Windows\SysWOW64\userinit.exe => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
 

==================== EXE ASSOCIATION =====================
 

HKLM\...\.exe: exefile => OK

HKLM\...\exefile\DefaultIcon: %1 => OK

HKLM\...\exefile\open\command: "%1" %* => OK
 

==================== Restore Points  =========================
 

Restore point made on: 2013-06-14 17:11:56

Restore point made on: 2013-06-24 09:42:32

Restore point made on: 2013-06-28 14:06:57

Restore point made on: 2013-06-28 14:07:02

Restore point made on: 2013-06-28 14:36:45

Restore point made on: 2013-06-28 14:38:48

Restore point made on: 2013-06-28 14:50:52

Restore point made on: 2013-06-28 14:50:58

Restore point made on: 2013-06-28 14:51:03

Restore point made on: 2013-06-28 14:51:09

Restore point made on: 2013-06-28 14:51:14

Restore point made on: 2013-06-28 14:51:19

Restore point made on: 2013-06-28 14:51:24

Restore point made on: 2013-06-28 14:51:29

Restore point made on: 2013-06-28 14:51:34

Restore point made on: 2013-06-28 14:51:39

Restore point made on: 2013-06-28 14:51:44

Restore point made on: 2013-06-28 14:51:51

Restore point made on: 2013-06-28 14:51:56

Restore point made on: 2013-06-28 14:52:01

Restore point made on: 2013-06-28 14:52:07

Restore point made on: 2013-06-28 14:52:12

Restore point made on: 2013-06-28 14:52:17

Restore point made on: 2013-06-28 14:52:22

Restore point made on: 2013-06-28 14:52:28

Restore point made on: 2013-06-28 14:52:33

Restore point made on: 2013-06-28 14:52:38

Restore point made on: 2013-06-28 14:52:44

Restore point made on: 2013-06-28 14:53:00

Restore point made on: 2013-06-28 15:14:18

Restore point made on: 2013-06-28 15:14:28

Restore point made on: 2013-06-28 15:14:39

Restore point made on: 2013-06-28 15:14:45

Restore point made on: 2013-06-28 15:14:51

Restore point made on: 2013-06-28 15:14:56

Restore point made on: 2013-06-28 15:15:02

Restore point made on: 2013-06-28 15:15:08

Restore point made on: 2013-06-28 15:15:14

Restore point made on: 2013-06-28 15:15:19

Restore point made on: 2013-06-28 15:15:27

Restore point made on: 2013-06-28 15:15:33

Restore point made on: 2013-06-28 15:15:40

Restore point made on: 2013-06-28 15:15:47

Restore point made on: 2013-06-28 15:15:54

Restore point made on: 2013-06-28 15:16:00

Restore point made on: 2013-06-28 15:16:08

Restore point made on: 2013-06-28 15:16:16

Restore point made on: 2013-06-28 15:16:33

Restore point made on: 2013-06-28 15:19:58

Restore point made on: 2013-06-28 15:21:21

Restore point made on: 2013-06-28 15:21:29

Restore point made on: 2013-06-28 15:21:36

Restore point made on: 2013-06-28 15:26:49

Restore point made on: 2013-06-28 15:26:58

Restore point made on: 2013-06-28 15:29:57

Restore point made on: 2013-06-28 15:30:06

Restore point made on: 2013-06-28 15:30:13

Restore point made on: 2013-06-28 15:30:20

Restore point made on: 2013-06-28 15:30:26

Restore point made on: 2013-06-28 15:30:32

Restore point made on: 2013-06-28 15:30:39

Restore point made on: 2013-06-28 15:30:46

Restore point made on: 2013-06-28 15:30:52

Restore point made on: 2013-06-28 15:32:55

Restore point made on: 2013-06-28 15:33:03

Restore point made on: 2013-06-28 15:33:09

Restore point made on: 2013-06-28 15:33:16

Restore point made on: 2013-06-28 15:33:22

Restore point made on: 2013-06-28 15:33:28

Restore point made on: 2013-06-28 15:34:46

Restore point made on: 2013-07-02 18:21:41
 

==================== Memory info =========================== 
 

Percentage of memory in use: 17%

Total physical RAM: 3973.27 MB

Available physical RAM: 3286.72 MB

Total Pagefile: 3973.27 MB

Available Pagefile: 3283.49 MB

Total Virtual: 8192 MB

Available Virtual: 8191.85 MB
 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:435.76 GB) (Free:383.64 GB) NTFS

Drive d: (KINGSTON) (Removable) (Total:7.55 GB) (Free:7.23 GB) FAT32 (Disk=1 Partition=1)

Drive x: (Boot) (Fixed) (Total:0.25 GB) (Free:0.25 GB) NTFS
 

==================== MBR & Partition Table ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 00000000)
 

Partition: GPT Partition Type

========================================================

Disk: 1 (Size: 8 GB) (Disk ID: BF017672)

Partition 1: (Active) - (Size=8 GB) - (Type=0C)
 
 

LastRegBack: 2013-07-02 18:19
 

==================== End Of Log ============================

--- --- ---

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

HKU\user\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\user\AppData\Local\Temp\qyegdoxqdtlkqfdgj.exe [43520 2013-07-06] (NVIDIA Corporation) <===== ATTENTION

HKU\user\...\Command Processor: "C:\Users\user\AppData\Local\Temp\qyegdoxqdtlkqfdgj.exe" <===== ATTENTION!

2013-07-06 08:49 - 2013-07-06 08:49 - 01084740 ____A C:\ProgramData\2433f433

2013-07-06 08:49 - 2013-07-06 08:49 - 01084737 ____A C:\Users\user\AppData\Roaming\2433f433

2013-07-06 08:49 - 2013-07-06 08:49 - 01084688 ____A C:\Users\user\AppData\Local\2433f433

C:\Users\user\AppData\Local\Temp\qyegdoxqdtlkqfdgj.exe

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 04-07-2013

Ran by SYSTEM at 2013-07-07 12:23:14 Run:1

Running from D:\

Boot Mode: Recovery

==============================================
 

HKU\user\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\user\AppData\Local\Temp\qyegdoxqdtlkqfdgj.exe [43520 2013-07-06 => Value not found.

HKU\user\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.

C:\ProgramData\2433f433 => Moved successfully.

C:\Users\user\AppData\Roaming\2433f433 => Moved successfully.

C:\Users\user\AppData\Local\2433f433 => Moved successfully.

C:\Users\user\AppData\Local\Temp\qyegdoxqdtlkqfdgj.exe => Moved successfully.
 

==== End of Fixlog ====

habe ich was vergessen ? o.O

Nee ich will nur wissen ob Du deinen rechner wieder normal booten kannst :)

ah ich hatte nochmal statt normal gelesen :) ja sieht so aus als könnte ich ihn wieder normal booten.

aber der virus ist jetzt noch nicht weg oder ? also ich kann nicht davon ausgehen, dass das system jetzt sicher ist, habe ich gehört. kannst du mir auch helfen,dass wiederhinukriegen ?

Nee ab jetzt Kontrollscans im normalen Windows :)

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

hier ist die Textdatei von Adw Cleaner

Code:

# AdwCleaner v2.304 - Datei am 08/07/2013 um 12:41:59 erstellt

# Aktualisiert am 03/07/2013 von Xplode

# Betriebssystem : Windows 8  (64 bits)

# Benutzer : user - VAIO

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\user\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\Program Files (x86)\Ask.com

Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\APN

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar

Schlüssel Gelöscht : HKCU\Software\Ask.com

Schlüssel Gelöscht : HKCU\Software\AskToolbar

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}

Schlüssel Gelöscht : HKLM\Software\APN

Schlüssel Gelöscht : HKLM\Software\AskToolbar

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C17DC5CF-54FF-4E63-8AC7-94335D6DA231}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D14D0EE2-2DD1-4230-BE70-3F3AD6172C40}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHost.Tool

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHost.Tool.1

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1D55DAA5-04AC-4036-B0BE-DA81EE9676CD}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{212C2C4F-C845-4FBC-9561-C833A13D8DCE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{3C5D1D57-16C8-473C-A552-37B8D88596FE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{4A115D8A-6A7B-4C72-92B1-2E2D01F36979}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{58CBF821-A0C7-4AE8-9430-77DD1AF38E99}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{72BCBFF7-2837-4CA0-B3B5-3DAED7F54601}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{824125FD-7732-4DA2-9277-3A7D0A0A0813}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{99DF8440-814E-497F-BDDD-FB93E9E9DF96}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{05366194-3126-4601-AC1A-DDE573E093DC}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{061F450C-37B9-4330-9235-0F25D9F75B33}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{19D2F415-D58B-46BC-9390-C03DCBC21EB2}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{22FEB0F5-0BA0-4D4B-8A66-55A21667BC31}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{26249267-15F4-4DA3-8247-C5A78E4FA918}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{39B217B4-8C69-4E45-A8DC-8CC4DAD3CF0A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3CB4CE45-8849-4638-9226-D6B615A15827}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{43AB7B5D-4C40-4103-A549-7002A116A7D5}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E45F3E8-2683-4824-A6BE-08108022FB36}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{996ED20F-A740-47A2-A7EF-9620D422BB4E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{9F0F16DD-4E76-4049-A9B1-7A91E48F0323}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D2B79F7D-2D7D-4420-B2A9-ECE52C7C83A0}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F4288797-CB12-49CE-9DF8-7CDFA1143BEA}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{061F450C-37B9-4330-9235-0F25D9F75B33}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{22FEB0F5-0BA0-4D4B-8A66-55A21667BC31}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D2B79F7D-2D7D-4420-B2A9-ECE52C7C83A0}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{83CAD530-387D-40FD-82EA-B9E863D92A9B}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C17DC5CF-54FF-4E63-8AC7-94335D6DA231}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D14D0EE2-2DD1-4230-BE70-3F3AD6172C40}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F994E0D9-8335-48F1-99C2-A712C21F8D5F}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]

Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v10.0.9200.16537
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [7158 octets] - [08/07/2013 12:41:59]
 

########## EOF - C:\AdwCleaner[S1].txt - [7218 octets] ##########

wie kann ich denn meine Schutzsoftware beenden, weil die lässt mich grade den nächsten Schritt nicht machen ?

Rechtsklick auf das Icon neben der Uhr, da sollte was sein :)

hm... ich finde es nicht und finde auch keine anleitung im Internet. Kannst du mir vielleicht etwas präziser sagen was ich machen muss. Tut mir Leid, aber sonst versteh ichs nicht :/