Trojaner-Board - GVU-Trojaner nach Systemwiederherstellung wirklich weg? Was tun, wenn nicht?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU-Trojaner nach Systemwiederherstellung wirklich weg? Was tun, wenn nicht? (https://www.trojaner-board.de/128433-gvu-trojaner-systemwiederherstellung-wirklich-weg-tun.html)

GVU-Trojaner nach Systemwiederherstellung wirklich weg? Was tun, wenn nicht?

Hallo.
Ich habe mir heute den GVU Trojaner eingefangen. NAchdem mein Desktop gesperrt wurde, führte ich über den abgesicherten Modus eine Systemwiederherstellung durch. Diese war auch erfolgreich. Im Moment läuft mein Laptop unter Windows 7 ultimate wieder fehlerfrei wie vorher. Dennoch habe ich mehrfach gelesen, dass der Trojaner sicher nicht richtig runter ist.

Was kann ich tun, um dies raus zu bekommen bzw. diesem Problem Herr zu werden.
Ich habe leider nur sehr rudimentäre Kentnisse von Computern und deren Funktionieren. Hab auch noch nicht recht verstanden, welche Infos ihr zur Problemlösung ihr von mir braucht und wie ich diese bekomme.

Vielen Dank für die Hilfe bereits im Voraus!!!
Danke Treborr

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.

Nur Scanns durchführen zu denen Du aufgefordert wirst.

Bitte kein Crossposting (posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.

Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.

Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.

Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.

Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Gelesen und verstanden?

Zitat:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.

Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].

Setze den Curser zwischen die CODE-Tags und drücke STRG+V.

Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
Starte die adwcleaner.exe mit einem Doppelklick.

Klicke auf Löschen.

Bestätige jeweils mit Ok.

Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.

Poste mir den Inhalt mit deiner nächsten Antwort.

Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 3:
Scan mit DDS (+ attach)

Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com | dds.scr | dds.pif
Schließe alle laufenden Programme und starte DDS mit Doppelklick.

Der Desktop wird verschwinden, das ist normal.

Stelle folgendes ein:

[X] dds.txt
[X] attach.txt
[ ] options for dds.txt

Ändere keine Einstellung ohne Anweisung.

Klicke auf Start.

Es werden 2 Logfiles auf deinem Desktop erstellt.
dds.txt

attach.txt

Poste die beiden Logfile hier, möglichst in CODE-Tags.

habs gelesen. weiß nur nicht, was log datein sind und "möglichst in Code-Tags - #-Symbol im Editor" versteh ich nicht.
wie weit soll ich das ganze nun bereits durchführen?

Die Logfiles sind die Dateien, die unsere Helferlein erzeugen.
Für die Codetags hab ich dir eine Anleitung dazu geschrieben.
Alles abarbeiten und DANN melden.

Code:

# AdwCleaner v2.101 - Logfile created 12/21/2012 at 18:52:27

# Updated 16/12/2012 by Xplode

# Operating system : Windows 7 Ultimate  (64 bits)

# User : Robi - ROBI-PC-BY-DW

# Boot Mode : Normal

# Running from : C:\Users\Robi\Desktop\adwcleaner.exe

# Option [Delete]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 
 

***** [Registry] *****
 
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v8.0.7600.16385
 

[OK] Registry is clean.
 

-\\ Mozilla Firefox v17.0.1 (de)
 

Profile name : default 

File : C:\Users\Robi\AppData\Roaming\Mozilla\Firefox\Profiles\ogi7qw36.default\prefs.js
 

[OK] File is clean.
 

*************************
 

AdwCleaner[S1].txt - [675 octets] - [21/12/2012 18:52:27]
 

########## EOF - C:\AdwCleaner[S1].txt - [734 octets] ##########

DDS Logfile:

Code:

DDS (Ver_2012-11-20.01) - NTFS_AMD64 

Internet Explorer: 8.0.7600.16385  BrowserJavaVersion: 10.9.2

Run by Robi at 19:30:17 on 2012-12-21

Microsoft Windows 7 Ultimate   6.1.7600.0.1252.1.1033.18.1976.1270 [GMT 1:00]

.

AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

============== Running Processes ===============

.

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Program Files\AVAST Software\Avast\AvastSvc.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

C:\Windows\system32\svchost.exe -k imgsvc

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

C:\Program Files\AVAST Software\Avast\AvastUI.exe

C:\Users\Robi\AppData\Roaming\Dropbox\bin\Dropbox.exe

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Windows\system32\sppsvc.exe

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\system32\wbem\wmiprvse.exe

\\?\C:\Windows\system32\wbem\WMIADAP.EXE

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\System32\cscript.exe

.

============== Pseudo HJT Report ===============

.

mWinlogon: Userinit = userinit.exe

BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll

BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll

BHO: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll

TB: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

mRun: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"

mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

mRun: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui

StartupFolder: C:\Users\Robi\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\Dropbox.lnk - C:\Users\Robi\AppData\Roaming\Dropbox\bin\Dropbox.exe

mPolicies-Explorer: NoActiveDesktop = dword:1

mPolicies-Explorer: NoActiveDesktopChanges = dword:1

mPolicies-System: ConsentPromptBehaviorAdmin = dword:5

mPolicies-System: ConsentPromptBehaviorUser = dword:3

mPolicies-System: EnableUIADesktopToggle = dword:0

IE: Nach Microsoft E&xel exportieren - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files (x86)\Microsoft Office\Office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}

TCP: NameServer = 192.168.178.1

TCP: Interfaces\{E540EBCD-2E7C-4A51-BDFA-A79ED064EF8B} : DHCPNameServer = 192.168.178.1

TCP: Interfaces\{E540EBCD-2E7C-4A51-BDFA-A79ED064EF8B}\370756564607F62747 : DHCPNameServer = 192.168.2.1

TCP: Interfaces\{E540EBCD-2E7C-4A51-BDFA-A79ED064EF8B}\5416379724F687D2739324244363 : DHCPNameServer = 192.168.2.1

TCP: Interfaces\{E540EBCD-2E7C-4A51-BDFA-A79ED064EF8B}\64259445A51224F6870264F6E60275C414E40273131323 : DHCPNameServer = 192.168.178.1

TCP: Interfaces\{E540EBCD-2E7C-4A51-BDFA-A79ED064EF8B}\86F6D656 : DHCPNameServer = 192.168.2.1 192.168.2.1

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll

SSODL: WebCheck - <orphaned>

SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll

x64-BHO: avast! WebRep: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll

x64-TB: avast! WebRep: {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll

x64-Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - <orphaned>

x64-SSODL: WebCheck - <orphaned>

.

================= FIREFOX ===================

.

FF - ProfilePath - C:\Users\Robi\AppData\Roaming\Mozilla\Firefox\Profiles\ogi7qw36.default\

FF - prefs.js: browser.startup.homepage - www.google.de

FF - plugin: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll

FF - plugin: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll

FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll

FF - plugin: C:\Windows\SysWOW64\npDeployJava1.dll

FF - plugin: C:\Windows\SysWOW64\npmproxy.dll

.

============= SERVICES / DRIVERS ===============

.

R1 aswSnx;aswSnx;C:\Windows\System32\drivers\aswSnx.sys [2012-9-18 984144]

R1 aswSP;aswSP;C:\Windows\System32\drivers\aswSP.sys [2012-9-18 370288]

R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;C:\Windows\System32\drivers\dtsoftbus01.sys [2012-9-17 283200]

R2 aswFsBlk;aswFsBlk;C:\Windows\System32\drivers\aswFsBlk.sys [2012-9-18 25232]

R2 aswMonFlt;aswMonFlt;C:\Windows\System32\drivers\aswMonFlt.sys [2012-9-18 71600]

R2 avast! Antivirus;avast! Antivirus;C:\Program Files\AVAST Software\Avast\AvastSvc.exe [2012-11-22 44808]

R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;C:\Windows\System32\drivers\netw5v64.sys [2009-6-10 5434368]

R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\System32\drivers\yk62x64.sys [2009-6-10 389120]

S3 ggflt;SEMC USB Flash Driver Filter;C:\Windows\System32\drivers\ggflt.sys [2012-9-18 14448]

S3 Sony PC Companion;Sony PC Companion;C:\Program Files (x86)\Sony\Sony PC Companion\PCCService.exe [2012-9-17 155320]

.

=============== Created Last 30 ================

.

2012-12-17 11:36:50        76232        ----a-w-        C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C41FDF75-6AC5-48D3-8E49-D7E2922D6A0F}\offreg.dll

2012-12-08 15:20:02        --------        d--h--w-        C:\ProgramData\CanonIJScan

2012-12-08 15:19:02        82944        ----a-w-        C:\Windows\System32\Spool\prtprocs\x64\CNMPP9H.DLL

2012-12-08 15:19:02        27648        ----a-w-        C:\Windows\System32\Spool\prtprocs\x64\CNMPD9H.DLL

2012-12-08 15:18:44        279040        ----a-w-        C:\Windows\System32\CNMLM9H.DLL

2012-12-08 15:18:43        92672        ----a-w-        C:\Windows\System32\CNC240I.DLL

2012-12-08 15:18:43        293888        ----a-w-        C:\Windows\System32\CNC240L.DLL

2012-12-08 15:18:43        229888        ----a-w-        C:\Windows\System32\CNC240O.DLL

2012-12-08 15:18:43        1354240        ----a-w-        C:\Windows\System32\CNC240C.DLL

2012-12-08 14:49:15        --------        d-----w-        C:\Program Files (x86)\Canon

2012-12-08 03:28:44        9125352        ----a-w-        C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C41FDF75-6AC5-48D3-8E49-D7E2922D6A0F}\mpengine.dll

.

==================== Find3M  ====================

.

2012-12-15 17:07:57        73656        ----a-w-        C:\Windows\SysWow64\FlashPlayerCPLApp.cpl

2012-12-15 17:07:57        697272        ----a-w-        C:\Windows\SysWow64\FlashPlayerApp.exe

2012-10-30 22:51:55        984144        ----a-w-        C:\Windows\System32\drivers\aswSnx.sys

2012-10-30 22:51:55        71600        ----a-w-        C:\Windows\System32\drivers\aswMonFlt.sys

2012-10-30 22:51:07        41224        ----a-w-        C:\Windows\avastSS.scr

2012-10-15 16:59:28        54072        ----a-w-        C:\Windows\System32\drivers\aswRdr2.sys

2012-09-24 22:16:33        95208        ----a-w-        C:\Windows\SysWow64\WindowsAccessBridge-32.dll

.

============= FINISH: 19:31:17,22 ===============

--- --- ---

Code:

.

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

.

DDS (Ver_2012-11-20.01)

.

Microsoft Windows 7 Ultimate 

Boot Device: \Device\HarddiskVolume1

Install Date: 17.09.2012 20:39:10

System Uptime: 21.12.2012 19:25:58 (0 hours ago)

.

Motherboard: Hewlett-Packard |  | 3634

Processor: Intel(R) Core(TM)2 Duo CPU     P9300  @ 2.26GHz | Intel(R) Genuine processor | 793/266mhz

.

==== Disk Partitions =========================

.

C: is FIXED (NTFS) - 281 GiB total, 152,93 GiB free.

D: is FIXED (NTFS) - 15 GiB total, 6,695 GiB free.

E: is FIXED (FAT32) - 2 GiB total, 1,503 GiB free.

I: is CDROM ()

.

==== Disabled Device Manager Items =============

.

Class GUID: 

Description: 

Device ID: ACPI\HPQ0004\3&21436425&0

Manufacturer: 

Name: 

PNP Device ID: ACPI\HPQ0004\3&21436425&0

Service: 

.

==== System Restore Points ===================

.

RP15: 23.10.2012 23:49:53 - Scheduled Checkpoint

RP16: 30.10.2012 09:05:07 - Installed Java 7 Update 9

RP17: 11.11.2012 06:19:54 - Scheduled Checkpoint

RP18: 18.11.2012 06:32:23 - Scheduled Checkpoint

RP19: 27.11.2012 18:21:19 - Scheduled Checkpoint

RP20: 08.12.2012 04:37:10 - Scheduled Checkpoint

RP21: 17.12.2012 12:37:15 - Scheduled Checkpoint

.

==== Installed Programs ======================

.

Adobe Flash Player 11 Plugin

Adobe Reader X (10.1.4) - Deutsch

avast! Free Antivirus

Canon MP Navigator EX 2.0

Canon MP240 series MP Drivers

CCleaner

DAEMON Tools Lite

Dropbox

Java 7 Update 9

Java Auto Updater

Microsoft Office Access MUI (German) 2007

Microsoft Office Enterprise 2007

Microsoft Office Excel MUI (German) 2007

Microsoft Office Groove MUI (German) 2007

Microsoft Office InfoPath MUI (German) 2007

Microsoft Office Office 64-bit Components 2007

Microsoft Office OneNote MUI (German) 2007

Microsoft Office Outlook MUI (German) 2007

Microsoft Office PowerPoint MUI (German) 2007

Microsoft Office Proof (English) 2007

Microsoft Office Proof (French) 2007

Microsoft Office Proof (German) 2007

Microsoft Office Proof (Italian) 2007

Microsoft Office Proofing (German) 2007

Microsoft Office Publisher MUI (German) 2007

Microsoft Office Shared 64-bit MUI (German) 2007

Microsoft Office Shared MUI (German) 2007

Microsoft Office Word MUI (German) 2007

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

Mozilla Firefox 17.0.1 (x86 de)

Mozilla Maintenance Service

Mozilla Thunderbird 17.0 (x86 de)

PDF24 Creator 4.9.0

Sony Ericsson Update Engine

Sony PC Companion 2.10.094

Speccy

VLC media player 2.0.3

WinRAR 4.20 (64-Bit)

.

==== End Of File ===========================

Prima gemacht, dann weiter:

Schritt 1:
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:

Gehe in die Systemsteuerung und klicke auf Windows Defender.
Klicke Extras > Optionen.
Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
Bestätige und schliesse alle offenen Fenster.

Schritt 2:
Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

es gab jetzt keinen neustart bzw. den befehl dazu!?

Code:

ComboFix 12-12-20.02 - Robi 21.12.2012  19:44:47.1.2 - x64

Microsoft Windows 7 Ultimate   6.1.7600.0.1252.1.1033.18.1976.1277 [GMT 1:00]

Running from: c:\users\Robi\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Created a new restore point

.

.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\dsgsdgdsgdsgw.pad

.

.

(((((((((((((((((((((((((   Files Created from 2012-11-21 to 2012-12-21  )))))))))))))))))))))))))))))))

.

.

2012-12-21 18:51 . 2012-12-21 18:51        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-12-17 11:36 . 2012-12-17 11:36        76232        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{C41FDF75-6AC5-48D3-8E49-D7E2922D6A0F}\offreg.dll

2012-12-08 15:20 . 2012-12-08 15:20        --------        d--h--w-        c:\programdata\CanonIJScan

2012-12-08 15:19 . 2008-04-01 04:00        82944        ----a-w-        c:\windows\system32\Spool\prtprocs\x64\CNMPP9H.DLL

2012-12-08 15:19 . 2008-04-01 04:00        27648        ----a-w-        c:\windows\system32\Spool\prtprocs\x64\CNMPD9H.DLL

2012-12-08 15:19 . 2012-12-08 15:19        --------        d--h--w-        c:\windows\system32\CanonIJ Uninstaller Information

2012-12-08 15:18 . 2008-04-01 04:00        279040        ----a-w-        c:\windows\system32\CNMLM9H.DLL

2012-12-08 15:18 . 2009-12-11 12:19        1354240        ----a-w-        c:\windows\system32\CNC240C.DLL

2012-12-08 15:18 . 2009-12-11 12:19        92672        ----a-w-        c:\windows\system32\CNC240I.DLL

2012-12-08 15:18 . 2009-11-30 15:40        293888        ----a-w-        c:\windows\system32\CNC240L.DLL

2012-12-08 15:18 . 2007-03-15 13:13        229888        ----a-w-        c:\windows\system32\CNC240O.DLL

2012-12-08 15:18 . 2012-12-08 15:18        --------        d--h--w-        c:\program files\CanonBJ

2012-12-08 15:04 . 2012-12-08 15:20        --------        d-----w-        c:\users\Robi\AppData\Roaming\Canon

2012-12-08 14:49 . 2012-12-08 14:49        --------        d-----w-        c:\program files (x86)\Canon

2012-12-08 03:28 . 2012-11-08 17:24        9125352        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{C41FDF75-6AC5-48D3-8E49-D7E2922D6A0F}\mpengine.dll

2012-12-05 16:44 . 2012-12-06 00:05        --------        d-----w-        c:\program files (x86)\Mozilla Thunderbird

.

.

.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-15 17:07 . 2012-09-17 21:47        73656        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-12-15 17:07 . 2012-09-17 21:47        697272        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe

2012-10-30 22:51 . 2012-09-18 21:57        59728        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2012-10-30 22:51 . 2012-09-18 21:57        370288        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2012-10-30 22:51 . 2012-09-18 21:57        984144        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2012-10-30 22:51 . 2012-09-18 21:57        71600        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2012-10-30 22:51 . 2012-09-18 21:57        25232        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2012-10-30 22:51 . 2012-09-18 21:55        41224        ----a-w-        c:\windows\avastSS.scr

2012-10-30 22:50 . 2012-09-18 21:55        227648        ----a-w-        c:\windows\SysWow64\aswBoot.exe

2012-10-30 22:50 . 2012-09-18 21:57        285328        ----a-w-        c:\windows\system32\aswBoot.exe

2012-10-15 16:59 . 2012-09-18 21:57        54072        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys

2012-09-24 22:16 . 2012-10-30 08:06        95208        ----a-w-        c:\windows\SysWow64\WindowsAccessBridge-32.dll

.

.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-06-30 04:19        94208        ----a-w-        c:\users\Robi\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-06-30 04:19        94208        ----a-w-        c:\users\Robi\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-06-30 04:19        94208        ----a-w-        c:\users\Robi\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]

.

c:\users\Robi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\Robi\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-8-27 26924984]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2012-09-18 14448]

R3 Sony PC Companion;Sony PC Companion;c:\program files (x86)\Sony\Sony PC Companion\PCCService.exe [2012-01-18 155320]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-09-17 283200]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-10-30 71600]

S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-06-10 389120]

.

.

Contents of the 'Scheduled Tasks' folder

.

2012-12-21 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-17 17:07]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-10-30 22:50        133400        ----a-w-        c:\program files\AVAST Software\Avast\ashShA64.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-06-30 04:19        97792        ----a-w-        c:\users\Robi\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-06-30 04:19        97792        ----a-w-        c:\users\Robi\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-06-30 04:19        97792        ----a-w-        c:\users\Robi\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2012-06-30 04:19        97792        ----a-w-        c:\users\Robi\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

------- Supplementary Scan -------

.

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\Robi\AppData\Roaming\Mozilla\Firefox\Profiles\ogi7qw36.default\

FF - prefs.js: browser.startup.homepage - www.google.de

.

.

--------------------- LOCKED REGISTRY KEYS ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]

@="?????????????????? v1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]

@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]

@="?????????????????? v2"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]

@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Completion time: 2012-12-21  19:54:49

ComboFix-quarantined-files.txt  2012-12-21 18:54

.

Pre-Run: 9 Verzeichnis(se), 165.848.473.600 Bytes frei

Post-Run: 17 Verzeichnis(se), 165.353.738.240 Bytes frei

.

- - End Of File - - 7C60B5409599A7BC6335B7179B94C5A7

Muss auch nicht :)

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen. Da diese sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung

Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.

Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.

Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.

Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.

Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.

IE-User müssen das Installieren eines ActiveX Elements erlauben.

Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.

Warte bis die Komponenten herunter geladen wurden.

Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.

http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:

Wenn der Scan beendet wurde
Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png

Speichere das Logfile als ESET.txt auf dem Desktop.

Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2
Speichere es auf dem Desktop.

Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Code:

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.12.21.15
 

Windows 7 x64 NTFS

Internet Explorer 8.0.7600.16385

Robi :: ROBI-PC-BY-DW [Administrator]
 

21.12.2012 20:04:57

mbam-log-2012-12-21 (20-04-57).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 207203

Laufzeit: 2 Minute(n), 51 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Code:

C:\Windows.old\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\65fa3cd8-6a743871        Java/Exploit.CVE-2012-0507.CU trojan

C:\Windows.old\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\4a88b2db-49a2a946        Java/Exploit.CVE-2012-0507.CU trojan

C:\Windows.old\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\16282de9-159c4033        Java/Exploit.CVE-2012-0507.CU trojan

C:\Windows.old\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\64cf512e-3aa04b2b        Java/Exploit.CVE-2012-0507.CZ trojan

C:\Windows.old\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\2dfb69fa-4f138817        multiple threats

C:\Windows.old\Users\Robert\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\67a9997e-179b3ab3        Java/Exploit.CVE-2012-1723.M trojan

Code:

 Results of screen317's Security Check version 0.99.56  

 Windows 7  x64 (UAC is enabled)  

 Out of date service pack!! 

 Internet Explorer 8 Out of date! 
 ``````````````Antivirus/Firewall Check:`````````````` 

avast! Antivirus   

 Antivirus up to date!  (On Access scanning disabled!) 
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.65.1.1000  

 Java 7 Update 9  

 Adobe Flash Player 11.5.502.135  

 Adobe Reader 10.1.4 Adobe Reader out of Date!  

 Mozilla Firefox (17.0.1) 

 Mozilla Thunderbird (17.0.) 
 ````````Process Check: objlist.exe by Laurent````````  

 AVAST Software Avast AvastSvc.exe  

 AVAST Software Avast AvastUI.exe  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Ähm .... warum hast du deinen Windows.old Ordner?

ich vermute, dass dies der inhalt meines letzten laptops ist, der mir während meiner mag. arbeit kaputt ging. der inhalt dessen wurde dann wegen der kürze der zeit einfach auf meinen neuen rechner gezogen. das ist schon zwei jahre her.
ich trau mich halt nie was zu löschen, da ich wie zu anfang erwähnt nur sehr begrenzt wissen von meinem laptop habe...

Hmmmmm dann lösche mal den Unterordner:

Zitat:

C:\Windows.old\Users\Robert\AppData\LocalLow

Und dann geht es so weiter:

Schritt 1:
Windows 7 Service Pack 1 installieren

Lade dir bitte das Servicepack 1 für Win 7 64-bit .
Starte die Installation. Das Update kann wenige Minuten bis über eine Stunde dauern und wird einen Neustart erfordern.

Schritt 2:
Update: Internetexplorer

Auch wenn du einen anderen Browser benutzt, Windows benutzt intern den Internetexplorer!

Lade dir bitte die neueste Version des Internetexplorers

Entferne den Haken bei "Ich möchte Bing ...".

Starte die Installation und folge den Anweisungen des Setups.

Schritt 3:
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe

Schließe alle laufenden Programme. Speziell deinen Browser.

Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 9) herunter laden.

Während der Installation entferne den Haken bei:
http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:
Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:
Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.

Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.

Klicke auf Dateien löschen...

Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Schritt 4:
Update: Adobe Reader

Deinstalliere deine alte Version von Adobe Reader (Systemsteuerung > Programme > Deinstallieren).
Lade dir die aktuelle Version hier herunter: get.adobe.com/de/reader/
Entferne dabei den Haken:
http://www.trojaner-board.de/picture...&pictureid=320

- oder -

Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:

Lade dir den Foxit Reader von www.foxitsoftware.com/downloads/ .
Starte die Installation und entferne dabei die folgenden Haken:
http://www.trojaner-board.de/picture...&pictureid=321

Schritt 5:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2
Speichere es auf dem Desktop.

Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

hab das service paket herunter geladen, doch bin unsicher, ob ich das gerade installieren kann. ich finde den key für mein windows nicht. den brauch ich doch aber, oder? ist es aber ein original windows!sprich: hab nix drauf gespielt oder verändert daran.
hab nun bedenken, dass danach gar nix mehr geht...

für das SP brauchst du keinen key

brauchte tatsächlich keinen key. danke

Code:

 Results of screen317's Security Check version 0.99.56  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 9  
 ``````````````Antivirus/Firewall Check:`````````````` 

avast! Antivirus   

 Antivirus up to date!  (On Access scanning disabled!) 
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.65.1.1000  

 Java 7 Update 10  

 Java version out of Date! 

 Adobe Flash Player 11.5.502.135  

 Adobe Reader XI  

 Mozilla Firefox (17.0.1) 

 Mozilla Thunderbird (17.0.) 
 ````````Process Check: objlist.exe by Laurent````````  

 AVAST Software Avast AvastSvc.exe  

 AVAST Software Avast AvastUI.exe  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````