Trojaner-Board - GVU Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU Trojaner (https://www.trojaner-board.de/166586-gvu-trojaner.html)

Hallo Leute
Habe mir auf meinem Laptop grade den GVU Trojaner eingefangen...nichts geht mehr...brauche dringend Hilfe...bin Laie was das angeht.....Danke

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
Poste die Logfiles direkt in Deinen Thread in Code-Tags.
Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst.

Los geht's:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://deeprybka.trojaner-board.de/tdss/codetags.gif

Hallo Jürgen....Danke für die schnelle Antwort....frst scant grade

code ist zu lang sagt mir das Forum.....es sind 96 Seiten......

Zitat:

Zitat von bubbel11 (Beitrag 1461351)

code ist zu lang sagt mir das Forum.....es sind 96 Seiten......

:wtf:

Free File Hosting - Online Storage; Upload Mp3, Videos, Music. Backup Files
Hier hochladen bitte.

<a href=hxxp://www.filedropper.com/scanresultoffarbarrecovery><img src=hxxp://www.filedropper.com/download_button.png width=127 height=145 border=0/></a><br /><div style=font-size:9px;font-family:Arial, Helvetica, sans-serif;width:127px;font-color:#44a854;> <a href=hxxp://www.filedropper.com >file storage</a></div>

URL Link posten bitte

hxxp://www.filedropper.com/scanresultoffarbarrecovery_1

das ist ein doc.

Bitte das Log als .txt hochladen und link posten

hxxp://www.filedropper.com/scanresultoffarbarrecovery_2

nu aber....lach

Wir machen jetzt erstmal einen Fix in den Reparatur-Oprionen, so dass wir dann im Normalmodus mit der Bereinigung fortfahren können.

Schritt 1
http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b.../frstfixre.png

(Mit Hilfe eines anderen PCs)
Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code:

HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] ()

HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () 

Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01]

Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01]

C:\Users\Marion\AppData\Roaming\loadit.exe 

2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt

2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe

Speichere dieses bitte als Fixlist.txt auf den USB-Stick, in das gleiche Verzeichnis in dem sich auch die FRST.exe befindet.

Stecke den USB-Stick mit FRST.exe und Fixlist.txt an den infizierten PC an und boote wieder in die Reparaturoptionen.
Wähle in den Reparaturoptionen: Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.
Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird Dir der Laufwerksbuchstabe Deines USB Sticks angezeigt (Sollte F:\ sein).
Schließe das notepad-Fenster wieder.
Starte die FRST.exe durch den Befehl

Code:

f:\frst64.exe

in der Eingabeaufforderung.
Drücke auf den Fix Button.
Es wird auf dem USB-Stick eine Fixlog.txt erstellt, deren Inhalt bitte ich Dich zu posten.

http://www.trojaner-board.de/extra/lesestoff.pngKannst Du den Rechner wieder im Normalmodus starten? Falls ja, dann gleich weiter mit Schritt 2. ;)

Schritt 2

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...t/frstscan.png

Verschiebe FRST vom USB-Stick auf den Desktop.

Starte dann FRST.
Markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.png und drücke Scan.
Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.

Bitte poste Fixlog.txt, FRST.txt und Addition.txt in Deiner nächsten Antwort.

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-04-2015 01

Ran by SYSTEM at 2015-05-01 15:44:10 Run:1

Running from F:\

Boot Mode: Recovery

==============================================
 

Content of fixlist:

*****************

HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] ()

HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () 

Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01]

Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01]

C:\Users\Marion\AppData\Roaming\loadit.exe 

2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt

2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe

         

*****************
 

HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => value deleted successfully.

HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully.

C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk => Moved successfully.

C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk => Moved successfully.

C:\Users\Marion\AppData\Roaming\loadit.exe => Moved successfully.

C:\Users\Marion\AppData\Roaming\url.txt => Moved successfully.

C:\Users\Marion\AppData\Roaming\autostarter.exe => Moved successfully.
 

==== End of Fixlog 15:44:11 ====

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-04-2015 01

Ran by SYSTEM at 2015-05-01 15:44:10 Run:1

Running from F:\

Boot Mode: Recovery

==============================================
 

Content of fixlist:

*****************

HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] ()

HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () 

Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01]

Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01]

C:\Users\Marion\AppData\Roaming\loadit.exe 

2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt

2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe

         

*****************
 

HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => value deleted successfully.

HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully.

C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk => Moved successfully.

C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk => Moved successfully.

C:\Users\Marion\AppData\Roaming\loadit.exe => Moved successfully.

C:\Users\Marion\AppData\Roaming\url.txt => Moved successfully.

C:\Users\Marion\AppData\Roaming\autostarter.exe => Moved successfully.
 

==== End of Fixlog 15:44:11 ====

Das ist zweimal das gleiche Log. :)

sorry....hab nict gesehen das wir schon auf seite 2 sind

Code:

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 29-04-2015 01

Ran by Marion at 2015-05-01 15:59:59

Running from C:\Users\Marion\Desktop

Boot Mode: Normal

==========================================================
 
 

==================== Accounts: =============================
 

Administrator (S-1-5-21-1588844970-614624912-4270772625-500 - Administrator - Disabled)

Gast (S-1-5-21-1588844970-614624912-4270772625-501 - Limited - Disabled)

Marion (S-1-5-21-1588844970-614624912-4270772625-1001 - Administrator - Enabled) => C:\Users\Marion
 

==================== Security Center ========================
 

(If an entry is included in the fixlist, it will be removed.)
 

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 

==================== Installed Programs ======================
 

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)
 

Das Haus am See - Kinder der Stille SA 1.00 (HKLM-x32\...\Das Haus am See - Kinder der Stille SA 1.00) (Version: 1.00 - Alawar)

Die Seelenfalle - Die Daemonen in dir 1.00 (HKLM-x32\...\Die Seelenfalle - Die Daemonen in dir 1.00) (Version: 1.00 - Deutschland spielt)

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 42.0.2311.135 - Google Inc.)

Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden

Google Update Helper (x32 Version: 1.3.26.9 - Google Inc.) Hidden

IncrediMail (x32 Version: 6.6.0.5288 - IncrediMail) Hidden

IncrediMail 2.5 (HKLM-x32\...\IncrediMail) (Version: 6.6.0.5288 - IncrediMail Ltd.)

Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)

MySQL Servers and Clients 3.23.52 (HKLM-x32\...\MySQL Servers and Clients 3.23.52) (Version:  - )

OpenOffice 4.1.1 (HKLM-x32\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)

Photo Notifier and Animation Creator (HKLM-x32\...\Photo Notifier and Animation Creator) (Version: 1.0.0.1009 - IncrediMail Ltd.)

Q-Dir (HKLM-x32\...\Q-Dir) (Version:  - )

SAM2 (remove only) (HKLM-x32\...\SAM2) (Version:  - )

Scarytales - Lang lebe Koenig Zulfo 1.00 (HKLM-x32\...\Scarytales - Lang lebe Koenig Zulfo 1.00) (Version: 1.00 - BigFish)

Skype Click to Call (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 7.3.16540.9015 - Microsoft Corporation)

Skype™ 7.3 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 7.3.101 - Skype Technologies S.A.)

TeamViewer 10 (HKLM-x32\...\TeamViewer) (Version: 10.0.36897 - TeamViewer)

Unity Web Player (x64) (All users) (HKLM\...\UnityWebPlayer) (Version: 4.6.3f1 - Unity Technologies ApS)

UseNeXT by Tangysoft (HKLM-x32\...\UseNeXT by Tangysoft_is1) (Version:  - Tangysoft Ltd.)

VLC media player (HKLM\...\VLC media player) (Version: 2.2.0 - VideoLAN)

Weird Park - Unheimliche Märchen 1.0.0.0 (HKLM-x32\...\Weird Park - Unheimliche Märchen 1.0.0.0) (Version: 1.0.0.0 - Shadow - Time to play)

Winamp (HKLM-x32\...\Winamp) (Version: 5.666  - Nullsoft, Inc)

Winamp Erkennungs-Plug-in (HKU\S-1-5-21-1588844970-614624912-4270772625-1001\...\Winamp Detect) (Version: 1.0.0.1 - Nullsoft, Inc)

WinRAR 5.21 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.21.0 - win.rar GmbH)
 

==================== Custom CLSID (selected items): ==========================
 

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)
 

CustomCLSID: HKU\S-1-5-21-1588844970-614624912-4270772625-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\Windows\system32\igfxEM.exe (Intel Corporation)
 

==================== Restore Points  =========================
 

30-04-2015 17:08:52 Geplanter Prüfpunkt
 

==================== Hosts content: ==========================
 

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)
 

2013-08-22 15:25 - 2013-08-22 15:25 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts
 

==================== Scheduled Tasks (whitelisted) =============
 

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)
 

Task: {16919BE6-25F6-4366-A8B2-C2D39B069477} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-03-24] (Microsoft Corporation)

Task: {72EE9B38-E0F2-4170-A169-5E79288E5B47} - System32\Tasks\Microsoft\Windows\Setup\gwx\runappraiser => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)

Task: {86E31E5F-EF19-4EE3-99C0-E2D8E1CD0399} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxcontent => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)

Task: {8DC6D1E7-2914-42FF-8A99-9365DBAEFFCB} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)

Task: {B3C0DD43-D4D4-4CAB-A9A0-E6B8A27CE999} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-20] (Google Inc.)

Task: {D5CED0FB-2B3D-4C6C-9E56-F3EE774C5F07} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-20] (Google Inc.)

Task: {D93FBB9E-D3EE-4E7C-B263-1E1AE08997EE} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-04-15] (Microsoft Corporation)

Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
 

==================== Loaded Modules (whitelisted) ==============
 

2015-01-20 12:48 - 2002-08-14 04:33 - 01130496 _____ () C:\mysql\bin\mysqld-nt.exe

2015-01-21 21:19 - 2015-01-21 21:19 - 00183296 _____ () C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.5.9600.20689_x64__8wekyb3d8bbwe\ErrorReporting.dll
 

==================== Alternate Data Streams (whitelisted) =========
 

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)
 

AlternateDataStreams: C:\Users\Marion\SkyDrive:ms-properties

AlternateDataStreams: C:\Users\Marion\SkyDrive.old:ms-properties
 

==================== Safe Mode (whitelisted) ===================
 

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)
 
 

==================== EXE Association (whitelisted) ===============
 

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)
 
 

==================== Internet Explorer trusted/restricted ===============
 

(If an entry is included in the fixlist, the associated entry will be removed from the registry.)
 
 

==================== Other Areas ============================
 

(Currently there is no automatic fix for this section.)
 

HKU\S-1-5-21-1588844970-614624912-4270772625-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Marion\AppData\Local\Microsoft\Windows\Themes\RoamedThemeFiles\DesktopBackground\hintergrundbild der windows-fotoanzeige.jpg

DNS Servers: 192.168.178.1
 

==================== MSCONFIG/TASK MANAGER disabled items ==
 

(Currently there is no automatic fix for this section.)
 
 

==================== FirewallRules (whitelisted) ===============
 

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)
 

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139

FirewallRules: [TCP Query User{F22345AF-FA54-418E-BB3E-33918DCCE2B7}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe

FirewallRules: [UDP Query User{B2076DCB-D237-478D-AE39-21F84F781967}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe

FirewallRules: [TCP Query User{1F6416AB-A04F-498B-9CA6-D3D0DF1B2DAF}C:\program files (x86)\spacialaudio\sam2\sam2.exe] => (Allow) C:\program files (x86)\spacialaudio\sam2\sam2.exe

FirewallRules: [UDP Query User{B98D8316-B59B-41C8-A96A-28DEC699CC35}C:\program files (x86)\spacialaudio\sam2\sam2.exe] => (Allow) C:\program files (x86)\spacialaudio\sam2\sam2.exe

FirewallRules: [{0ABA6F35-8308-4140-B161-4E979F7BF87A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe

FirewallRules: [{C187542A-4C9B-42B3-BA8F-71E893EDB3D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe

FirewallRules: [{CFE1B3F8-D2C8-4281-8E8A-2193C21E943A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe

FirewallRules: [{5CF7E453-00EE-4017-9971-26E716172F8D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe

FirewallRules: [{382A9985-C639-403E-9912-17671015928A}] => (Allow) E:\Winamp\winamp.exe

FirewallRules: [{4A149E8B-2706-4A1F-A106-FFEA5387CAE1}] => (Allow) E:\Winamp\winamp.exe

FirewallRules: [{880944A8-8ABA-4FC1-8BC8-72E847CF07E3}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe

FirewallRules: [{17CB2E52-CE1F-4563-86CA-98BDCE04BB56}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe

FirewallRules: [{1F8B1178-FDF7-4DA2-9DBF-0D912F15CCCF}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe

FirewallRules: [{F92E21B6-44B4-4861-927A-6387D7A6E74A}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe

FirewallRules: [{0D065FBF-72CA-44CF-836C-42EA54498993}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImpCnt.exe

FirewallRules: [{9DF9E4A2-E3CB-4B1C-8253-F7F290910E04}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImpCnt.exe

FirewallRules: [TCP Query User{6F1A7250-7E47-4640-AA6C-623C551FB490}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe

FirewallRules: [UDP Query User{42DD16B2-715A-4BC7-B170-63BBD4B8233F}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe

FirewallRules: [{95B591E7-D5AD-4E29-9F9F-97363BC47EF1}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
 

==================== Faulty Device Manager Devices =============
 

Name: PCI-Gerät

Description: PCI-Gerät

Class Guid: 

Manufacturer: 

Service: 

Problem: : The drivers for this device are not installed. (Code 28)

Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
 
 

==================== Event log errors: =========================
 

Application errors:

==================

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)

Description: Der Ereignisfilter mit der Abfrage "select * from __InstanceModificationEvent where targetinstance isa '__ArbitratorConfiguration'" konnte im Namespace "//./root" aufgrund des Fehlers "0x80041033" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __NamespaceOperationEvent" zu registrieren, deren Zielklasse "__NamespaceOperationEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __ClassOperationEvent" zu registrieren, deren Zielklasse "__ClassOperationEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root/subscription" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root/subscription" nicht vorhanden ist. Die Abfrage wird ignoriert.
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __NamespaceOperationEvent" zu registrieren, deren Zielklasse "__NamespaceOperationEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert.
 
 

System errors:

=============

Error: (05/01/2015 03:47:38 PM) (Source: BTHUSB) (EventID: 30) (User: )

Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.
 

Error: (05/01/2015 03:39:12 PM) (Source: Service Control Manager) (EventID: 7023) (User: )

Description: Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: 

%%1115
 

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "Autom. Setup von Geräten, die mit dem Netzwerk verbunden sind" wurde aufgrund folgenden Fehlers nicht gestartet: 

%%1069
 

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: )

Description: Der Dienst "NcdAutoSetup" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: 

%%50
 

Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).
 

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 

%%1069
 

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde aufgrund folgenden Fehlers nicht gestartet: 

%%1069
 

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: )

Description: Der Dienst "FDResPub" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: 

%%50
 

Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).
 

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: )

Description: Der Dienst "Funktionssuchanbieter-Host" wurde aufgrund folgenden Fehlers nicht gestartet: 

%%1069
 

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: )

Description: Der Dienst "fdPHost" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: 

%%50
 

Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).
 

Error: (05/01/2015 03:38:28 PM) (Source: BTHUSB) (EventID: 30) (User: )

Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.
 
 

Microsoft Office Sessions:

=========================

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)

Description: //./rootselect * from __InstanceModificationEvent where targetinstance isa '__ArbitratorConfiguration'0x80041033
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __TimerEvent__TimerEvent//./root/CIMV2
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __SystemEvent__SystemEvent//./root/CIMV2
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root/CIMV2
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __ClassOperationEvent__ClassOperationEvent//./root/CIMV2
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __TimerEvent__TimerEvent//./root
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __TimerEvent__TimerEvent//./root/subscription
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __SystemEvent__SystemEvent//./root
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __SystemEvent__SystemEvent//./root/subscription
 

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)

Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root
 
 

==================== Memory info =========================== 
 

Processor: Intel(R) Celeron(R) CPU 1037U @ 1.80GHz

Percentage of memory in use: 28%

Total physical RAM: 3795.47 MB

Available physical RAM: 2728.15 MB

Total Pagefile: 4435.47 MB

Available Pagefile: 3396.17 MB

Total Virtual: 131072 MB

Available Virtual: 131071.81 MB
 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:50.54 GB) (Free:23.1 GB) NTFS

Drive d: (Daten) (Fixed) (Total:429.69 GB) (Free:395.43 GB) NTFS

Drive e: (Musik) (Fixed) (Total:432.62 GB) (Free:390.24 GB) NTFS

Drive i: (STICK RALF) (Removable) (Total:14.93 GB) (Free:14.51 GB) FAT32
 

==================== MBR & Partition Table ==================
 

========================================================

Disk: 0 (Size: 931.5 GB) (Disk ID: ADB518C3)
 

Partition: GPT Partition Type.
 

========================================================

Disk: 1 (MBR Code: Windows XP) (Size: 14.9 GB) (Disk ID: 35BE4C3C)

Partition 1: (Not Active) - (Size=14.9 GB) - (Type=0C)
 

==================== End Of Log ============================

warum postet das board die frst.txt nicht

hxxp://www.filedropper.com/frst

hast du jetzt alle logs die du brauchst??? bin jetzt kurz afk wegen abendbrot....

Ja, passt.
FRST das nächste mal auf mehrere Postings aufteilen.

Schritt 1

http://deeprybka.trojaner-board.de/m...mbamlogo4a.png http://deeprybka.trojaner-board.de/m...mbamlogo4b.png

Download und Anleitung
Starte Malwarebytes' Anti-Malware (MBAM).
Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Schritt 2

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Code:

Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlauf Datum: 01.05.2015

Suchlauf-Zeit: 18:40:47

Logdatei: log1.txt

Administrator: Ja
 

Version: 2.01.6.1022

Malware Datenbank: v2015.05.01.05

Rootkit Datenbank: v2015.04.21.01

Lizenz: Kostenlos

Malware Schutz: Deaktiviert

Bösartiger Webseiten Schutz: Deaktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 8.1

CPU: x64

Dateisystem: NTFS

Benutzer: Marion
 

Suchlauf-Art: Bedrohungs-Suchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 329169

Verstrichene Zeit: 19 Min, 50 Sek
 

Speicher: Aktiviert

Autostart: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Aktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(Keine schädliche Elemente gefunden)
 

Module: 0

(Keine schädliche Elemente gefunden)
 

Registrierungsschlüssel: 0

(Keine schädliche Elemente gefunden)
 

Registrierungswerte: 0

(Keine schädliche Elemente gefunden)
 

Registrierungsdaten: 0

(Keine schädliche Elemente gefunden)
 

Ordner: 0

(Keine schädliche Elemente gefunden)
 

Dateien: 1

Trojan.MSIL.Injector, C:\$Recycle.Bin\S-1-5-21-1588844970-614624912-4270772625-1001\$RG9XT50.rar, In Quarantäne, [ec8dddb1ec9eaf877794d81e3ec77888], 
 

Physische Sektoren: 0

(Keine schädliche Elemente gefunden)
 
 

(end)

OK, ESET dauert länger... :)

Code:

ESETSmartInstaller@High as downloader log:

all ok

# product=EOS

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.7623

# api_version=3.0.2

# EOSSerial=77a65a1b31ca934c84b7d0fa521f9d86

# engine=23654

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2015-05-01 06:39:50

# local_time=2015-05-01 08:39:50 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=6.2.9200 NT 

# compatibility_mode_1=''

# compatibility_mode=5893 16776573 100 94 34492 7587982 0 0

# scanned=220732

# found=13

# cleaned=0

# scan_time=3697

sh=2746838C373707EE6E3F7E0CAB243F29FF91E28B ft=1 fh=c71c00110511b906 vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="C:\$Recycle.Bin\S-1-5-21-1588844970-614624912-4270772625-1001\$R7ICMV2.exe"

sh=BED584A503F5F337FCFD7A548293218168057352 ft=1 fh=c71c001164cbfd11 vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="C:\FRST\Quarantine\C\Users\Marion\AppData\Roaming\autostarter.exe.xBAD"

sh=3F4E7BE003A348B306767D14323803D3164BC317 ft=1 fh=5f962cf65bf9b92d vn="Mehrere Bedrohungen" ac=I fn="C:\FRST\Quarantine\C\Users\Marion\AppData\Roaming\loadit.exe.xBAD"

sh=3F4E7BE003A348B306767D14323803D3164BC317 ft=1 fh=5f962cf65bf9b92d vn="Mehrere Bedrohungen" ac=I fn="C:\Users\Marion\AppData\Local\Microsoft\Windows\INetCache\IE\E752QM0Z\cool[1].exe"

sh=47B19AB97028D8925579BED54EFEE88C8107D6B6 ft=1 fh=34f71966959b3eb8 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\AppData\Local\Temp\DMR\dmr_72.exe"

sh=43D9BB45191898E72BA202F4DB076CBED589241C ft=0 fh=0000000000000000 vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\Documents\UseNeXT\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD (2).rar"

sh=C46BA50F1F5769683367C043A0125A28E4C9F914 ft=0 fh=0000000000000000 vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\Documents\UseNeXT\VA Schlager Tanz Nacht 100 Top Hits.rar"

sh=86A4924A73E61A822A5AC9B40CFCDE30D5BA8722 ft=1 fh=c71c00114189f91f vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Der Liebe 42 Lieder die zu Herzen gehen -\Schlager Der Liebe 42 Lieder die zu Herzen gehen.exe"

sh=BED584A503F5F337FCFD7A548293218168057352 ft=1 fh=c71c001164cbfd11 vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Tanz Nacht 100 Top Hits - (1_1) - _Schlag\Schlager Tanz Nacht 100 Top Hits.exe"

sh=BD6D76A286AEBD5C6EBE108086AE9D661A167435 ft=1 fh=c71c001103bd981d vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\Documents\UseNeXT\wizard\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD.exe"

sh=7AB2044AD0DA31946D08E69A0ADC69BF2544B444 ft=1 fh=6d1294dba24973d2 vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\Downloads\OpenOffice - CHIP-Installer.exe"

sh=0DFD38B7C37CA774A430BC06285ED13E2CD94617 ft=1 fh=bd23bf2b90edf5fe vn="Variante von Win32/DownloadSponsor.C evtl. unerwünschte Anwendung" ac=I fn="C:\Users\Marion\Downloads\VLC media player 64 Bit - CHIP-Installer.exe"

sh=1DDEFC6D6209466E9F3E2173EE787C7445497412 ft=0 fh=0000000000000000 vn="Win32/Packed.Autoit.H evtl. unerwünschte Anwendung" ac=I fn="E:\Usenext Downloads\Kings of Leon Only by the night 2008 (2).rar"

Hi,

Schritt 1

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...st/frstfix.png

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w8.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code:

CloseProcesses:

C:\Users\Marion\AppData\Local\Microsoft\Windows\INetCache\IE\E752QM0Z\cool[1].exe

C:\Users\Marion\AppData\Local\Temp\DMR\dmr_72.exe

C:\Users\Marion\Documents\UseNeXT\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD (2).rar

C:\Users\Marion\Documents\UseNeXT\VA Schlager Tanz Nacht 100 Top Hits.rar

C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Der Liebe 42 Lieder die zu Herzen gehen -\Schlager Der Liebe 42 Lieder die zu Herzen gehen.exe

C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Tanz Nacht 100 Top Hits - (1_1) - _Schlag\Schlager Tanz Nacht 100 Top Hits.exe

C:\Users\Marion\Documents\UseNeXT\wizard\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD.exe

C:\Users\Marion\Downloads\OpenOffice - CHIP-Installer.exe

C:\Users\Marion\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

E:\Usenext Downloads\Kings of Leon Only by the night 2008 (2).rar

Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

Starte FRST und drücke auf den Fix-Button.
Das Tool erstellt eine "Fixlog.txt" -Datei.
Poste mir bitte deren Inhalt.

Schritt 2

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte starte FRST erneut, und drücke auf Scan.
Bitte poste mir den Inhalt des Logs.

http://www.trojaner-board.de/extra/lesestoff.pngGibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-04-2015 01

Ran by Marion at 2015-05-02 13:24:20 Run:2

Running from I:\

Loaded Profiles: Marion (Available profiles: Marion)

Boot Mode: Normal

==============================================
 

Content of fixlist:

*****************

CloseProcesses:

C:\Users\Marion\AppData\Local\Microsoft\Windows\INetCache\IE\E752QM0Z\cool[1].exe

C:\Users\Marion\AppData\Local\Temp\DMR\dmr_72.exe

C:\Users\Marion\Documents\UseNeXT\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD (2).rar

C:\Users\Marion\Documents\UseNeXT\VA Schlager Tanz Nacht 100 Top Hits.rar

C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Der Liebe 42 Lieder die zu Herzen gehen -\Schlager Der Liebe 42 Lieder die zu Herzen gehen.exe

C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Tanz Nacht 100 Top Hits - (1_1) - _Schlag\Schlager Tanz Nacht 100 Top Hits.exe

C:\Users\Marion\Documents\UseNeXT\wizard\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD.exe

C:\Users\Marion\Downloads\OpenOffice - CHIP-Installer.exe

C:\Users\Marion\Downloads\VLC media player 64 Bit - CHIP-Installer.exe

E:\Usenext Downloads\Kings of Leon Only by the night 2008 (2).rar

*****************
 

Processes closed successfully.

C:\Users\Marion\AppData\Local\Microsoft\Windows\INetCache\IE\E752QM0Z\cool[1].exe => Moved successfully.

C:\Users\Marion\AppData\Local\Temp\DMR\dmr_72.exe => Moved successfully.

C:\Users\Marion\Documents\UseNeXT\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD (2).rar => Moved successfully.

C:\Users\Marion\Documents\UseNeXT\VA Schlager Tanz Nacht 100 Top Hits.rar => Moved successfully.

C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Der Liebe 42 Lieder die zu Herzen gehen -\Schlager Der Liebe 42 Lieder die zu Herzen gehen.exe => Moved successfully.

C:\Users\Marion\Documents\UseNeXT\wizard\Schlager Tanz Nacht 100 Top Hits - (1_1) - _Schlag\Schlager Tanz Nacht 100 Top Hits.exe => Moved successfully.

C:\Users\Marion\Documents\UseNeXT\wizard\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD\VA Deutsche Schlager Der 90er Querbeet Die IV 10CD.exe => Moved successfully.

C:\Users\Marion\Downloads\OpenOffice - CHIP-Installer.exe => Moved successfully.

C:\Users\Marion\Downloads\VLC media player 64 Bit - CHIP-Installer.exe => Moved successfully.

E:\Usenext Downloads\Kings of Leon Only by the night 2008 (2).rar => Moved successfully.
 
 

The system needed a reboot. 
 

==== End of Fixlog 13:24:23 ====

kann ich dir die scandatei über filedroper schicken?....

Zitat:

Zitat von bubbel11 (Beitrag 1461744)

kann ich dir die scandatei über filedroper schicken?....

Ja mach mal...:)

hxxp://www.filedropper.com/frst12

>>clean<<
Wir haben es geschafft! :abklatsch:
Die Logs sehen für mich im Moment sauber aus.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:
Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
Klicke auf OK.
Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

http://deeprybka.trojaner-board.de/eset/ESS.png
ESET Smart Security

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.

Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .

Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

klasse....danke dir für deine Hilfe.....ein Lob und eine kleine Spende ist euch sicher.....werde das Board im Freundeskreis weiter empfehlen....

Zitat:

Zitat von bubbel11 (Beitrag 1461755)

klasse....danke dir für deine Hilfe.....ein Lob und eine kleine Spende ist euch sicher.....werde das Board im Freundeskreis weiter empfehlen....

Vielen Dank! Wir sind auch auf Facebook! ;)