Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   wie den GVU-Trojaner loswerden? (https://www.trojaner-board.de/129613-gvu-trojaner-loswerden.html)

helgeyo 16.01.2013 00:56
wie den GVU-Trojaner loswerden?
 
hey leute,
habe mir auch den gvu trojaner eingefangen. bei dem sperrbildschirm habe ich dann erstmal den rechner per powerknopf ausgemacht und kam dann durch abbrechen des herunterfahrens vom sperrbildschirm auf den desktop. habe gvu gegoogelt und bin über deren seite auf dieses forum gestoßen.

habe jetzt defogger, OTL und gmer laufen lassen. kann schonmal vorwerg sagen, dass der trojaner noch da ist, da der sperrbildschirm bei neustart wieder erschien und ich wie oben beschrieben auf den desktop gelangt bin um jetzt hier ins forum zu schreiben.

defogger lief problemlos, OTL gab jedoch schon schwierigkeiten: es wurde keine Extra.txt datei angefertigt. füge euch mal die OTL.txt und die Gmer.txt hinzu und hoffe, dass ihr mir helfen könnt. bin wirklich ahnungslos auf dem gebiet.

PS:
bevor der anschein entsteht: die download-dateien von far cry 3 sind legal, habe das spiel über den ubishop erstanden und dort ist der download nunmal merkwürdig (AMD verteilte bei aktuellen grafikkarten codes für das spiel, habe die HD7870)

PPS:
wäre das formatieren der festplatte auch eine option, den virus loszuwerden? wenn ja, könnte ich dann trotzdem ein backup von manchen dateien (z.B. ein Steam Backup) auf eine externe festplatte machen, ohne den virus "mitzuschleppen"? denn wenn ja, wäre das formatieren garnicht mal so schlimm für mich. habe den rechner keine 3 monate, es wäre also nicht besonders viel arbeit, den neu einzurichten, windows cd habe ich hier ja schließlich liegen.

OTL:

PHP-Code:
OTL logfile created on16.01.2013 00:18:58 Run 3
OTL by OldTimer Version 3.2.69.0     Folder C:\Users\Helge\Desktop
64bitHome Premium Edition Service Pack 1 (Version 6.1.7601) - Type NTWorkstation
Internet Explorer (Version 9.0.8112.16421)
Locale00000407 CountryDeutschland LanguageDEU Date Formatdd.MM.yyyy
 
7,90 Gb Total Physical Memory 6,51 Gb Available Physical Memory 82,40Memory free
15,79 Gb Paging File 14,20 Gb Available in Paging File 89,92Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 931,41 Gb Total Space 821,17 Gb Free Space 88,16Space Free Partition TypeNTFS
 
Computer NameHELGE-PC User NameHelge Logged in as Administrator.
Boot ModeNormal Scan ModeCurrent user Quick Scan | Include 64bit Scans
Company Name WhitelistOn Skip Microsoft FilesOn No Company Name WhitelistOn File Age 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - [2013.01.15 23:09:01 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe
PRC - [2013.01.08 01:06:24 001,248,360 | ---- | M] (Google Inc.) -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
PRC - [2012.12.11 17:51:07 000,085,280 | ---- | M] (Avira Operations GmbH CoKG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
PRC - [2012.12.11 17:50:58 000,109,344 | ---- | M] (Avira Operations GmbH CoKG) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.11.29 15:59:49 000,076,888 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
PRC - [2007.05.28 17:57:54 000,275,968 | ---- | M] (Rocket Division Software) -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
 
 
[color=#E56717]========== Modules (No Company Name) ==========[/color]
 
MOD - [2013.01.08 01:06:22 000,460,392 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll
MOD - [2013.01.08 01:06:19 004,012,648 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll
MOD - [2013.01.08 01:05:29 000,598,120 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\libglesv2.dll
MOD - [2013.01.08 01:05:28 000,124,520 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\libegl.dll
MOD - [2013.01.08 01:05:25 001,553,000 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ffmpegsumo.dll
 
 
[color=#E56717]========== Services (SafeList) ==========[/color]
 
SRV:[b]64bit:[/b] - [2012.12.02 08:36:50 000,240,640 | ---- | M] (AMD) [Auto Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2012.12.21 16:53:49 000,541,760 | ---- | M] (Valve Corporation) [On_Demand Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2012.12.11 17:51:07 000,085,280 | ---- | M] (Avira Operations GmbH CoKG) [Auto Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.11 17:50:58 000,109,344 | ---- | M] (Avira Operations GmbH CoKG) [Auto Running] -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.11.29 15:59:49 000,076,888 | ---- | M] () [Auto Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2012.11.09 11:21:24 000,160,944 R--- | M] (Skype Technologies) [Auto Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2010.03.18 13:16:28 000,130,384 | ---- | M] (Microsoft Corporation) [Auto Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.06.10 22:23:09 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2007.05.28 17:57:54 000,275,968 | ---- | M] (Rocket Division Software) [Auto Running] -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV:[b]64bit:[/b] - [2012.12.11 17:51:10 000,129,216 | ---- | M] (Avira Operations GmbH CoKG) [Kernel System Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:[b]64bit:[/b] - [2012.12.11 17:51:10 000,099,912 | ---- | M] (Avira Operations GmbH CoKG) [File_System Auto Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:[b]64bit:[/b] - [2012.12.02 09:29:48 011,270,656 | ---- | M] (Advanced Micro DevicesInc.) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:[b]64bit:[/b] - [2012.12.02 08:13:20 000,546,816 | ---- | M] (Advanced Micro DevicesInc.) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:[b]64bit:[/b] - [2012.11.04 22:16:29 000,868,848 | ---- | M] (Duplex Secure Ltd.) [Kernel Disabled Stopped] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)
DRV:[b]64bit:[/b] - [2012.11.04 20:39:06 000,283,200 | ---- | M] (DT Soft Ltd) [Kernel System Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV:[b]64bit:[/b] - [2012.09.24 09:58:11 000,027,800 | ---- | M] (Avira Operations GmbH CoKG) [Kernel System Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:[b]64bit:[/b] - [2012.07.17 18:12:08 000,062,784 | ---- | M] (Intel Corporation) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (MEIx64)
DRV:[b]64bit:[/b] - [2012.05.14 07:12:30 000,096,896 | ---- | M] (Advanced Micro Devices) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService)
DRV:[b]64bit:[/b] - [2012.03.01 07:46:16 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer Boot Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 000,787,736 | ---- | M] (Intel Corporation) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\iusb3xhc.sys -- (iusb3xhc)
DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 000,356,120 | ---- | M] (Intel Corporation) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\iusb3hub.sys -- (iusb3hub)
DRV:[b]64bit:[/b] - [2012.01.26 18:39:34 000,016,152 | ---- | M] (Intel Corporation) [Kernel Boot Running] -- C:\Windows\SysNative\drivers\iusb3hcs.sys -- (iusb3hcs)
DRV:[b]64bit:[/b] - [2011.08.23 14:57:24 000,565,352 | ---- | M] (Realtek                                            ) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:[b]64bit:[/b] - [2011.03.11 07:41:12 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:[b]64bit:[/b] - [2011.03.11 07:41:12 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel Boot Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:[b]64bit:[/b] - [2010.11.21 04:24:33 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:[b]64bit:[/b] - [2010.11.21 04:23:47 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:[b]64bit:[/b] - [2010.11.21 04:23:47 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV:[b]64bit:[/b] - [2009.11.18 00:12:00 000,032,344 | ---- | M] (Creative Technology Ltd.) [Kernel On_Demand Running] -- C:\Windows\SysNative\drivers\MBfilt64.sys -- (MBfilt)
DRV:[b]64bit:[/b] - [2009.07.14 02:52:20 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:[b]64bit:[/b] - [2009.07.14 02:48:04 000,065,600 | ---- | M] (LSI Corporation) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:[b]64bit:[/b] - [2009.07.14 02:45:55 000,024,656 | ---- | M] (Promise Technology) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:[b]64bit:[/b] - [2009.06.10 21:34:33 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:[b]64bit:[/b] - [2009.06.10 21:34:28 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:[b]64bit:[/b] - [2009.06.10 21:34:23 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:[b]64bit:[/b] - [2009.06.10 21:31:59 000,031,232 | ---- | M] (Hauppauge Computer WorksInc.) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:[b]64bit:[/b] - [2007.07.17 17:42:38 000,056,336 | ---- | M] (LogitechInc.) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\LMouFilt.Sys -- (LMouFilt)
DRV:[b]64bit:[/b] - [2007.07.17 17:42:32 000,054,288 | ---- | M] (LogitechInc.) [Kernel On_Demand Stopped] -- C:\Windows\SysNative\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2009.07.14 02:19:10 000,019,008 | ---- | M] (Microsoft Corporation) [File_System On_Demand Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page C:\Windows\SysWOW64\blank.htm
IE HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page hxxp://www.google.de/
IE HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache hxxp://de.msn.com/?ocid=iehp
IE HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs de
IE HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP 44 14 D1 A7 6A B9 CD 01  [binary data]
IE HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"ProxyEnable" 0
 
 
[color=#E56717]========== FireFox ==========[/color]
 
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayerC:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
FF HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayerC:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll (ESN Social Software AB)
FF HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.138.0C:\Program Files (x86)\Battlelog Web Plugins\1.138.0\npesnlaunch.dll (ESN Social Software AB)
FF HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF HKCU\Software\MozillaPlugins\ubisoft.com/uplaypcC:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll (Ubisoft)
 
 
 
[color=#E56717]========== Chrome  ==========[/color]
 
CHR homepagehxxp://www.google.com/
CHR default_search_providerGoogle (Enabled)
CHR default_search_providersearch_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR default_search_providersuggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}
CHR homepagehxxp://www.google.com/
CHR pluginShockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\PepperFlash\pepflashplayer.dll
CHR pluginChrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR pluginNative Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll
CHR pluginChrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll
CHR pluginAdobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR pluginGoogle Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll
CHR ExtensionYouTube C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR ExtensionGoogle-Suche C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR ExtensionGoogle Mail C:\Users\Helge\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2009.06.10 22:00:26 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:[b]64bit:[/b] - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O2 BHO: (Java(tmPlug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 BHO: (Java(tmPlug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3:[b]64bit:[/b] - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O4:[b]64bit:[/b] - HKLM..\Run: [itypeC:\Program Files\Microsoft IntelliType Pro\itype.exe (Microsoft Corporation)
O4:[b]64bit:[/b] - HKLM..\Run: [Kernel and Hardware Abstraction LayerC:\Windows\KHALMNPR.Exe (LogitechInc.)
O4:[b]64bit:[/b] - HKLM..\Run: [RTHDVCPLC:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 HKLM..\Run: [avgntC:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH CoKG)
O4 HKLM..\Run: [StartCCCC:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro DevicesInc.)
O4 HKLM..\Run: [USB3MONC:\Program Files (x86)\Intel\Intel(RUSB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (Intel Corporation)
O4 HKCU..\Run: [FogedC:\Users\Helge\AppData\Roaming\Gytodi\isomi.exe (Microsoft Corporation)
O4 HKCU..\Run: [Spotify Web HelperC:\Users\Helge\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)
O4 HKCU..\Run: [SteamC:\Program Files (x86)\Steam\steam.exe (Valve Corporation)
O4 StartupC:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
O4 StartupC:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk C:\Programme\Rainmeter\Rainmeter.exe ()
O6 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ExplorerNoActiveDesktop 1
O6 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ExplorerNoActiveDesktopChanges 1
O6 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\SystemConsentPromptBehaviorAdmin 5
O6 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\SystemConsentPromptBehaviorUser 3
O13[b]64bit:[/b] - gopher Prefixmissing
O13 gopher Prefixmissing
O17 HKLM\System\CCS\Services\Tcpip\ParametersDhcpNameServer 192.168.178.1
O17 HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{14F304A1-0E1E-45F2-9393-319BE41AABBC}: DhcpNameServer 192.168.178.1
O18:[b]64bit:[/b] - Protocol\Handler\bwfile-8876480 No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com No CLSID value found
O18 Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.)
O18 Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20:[b]64bit:[/b] - HKLM WinlogonShell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:[b]64bit:[/b] - HKLM WinlogonUserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 HKLM WinlogonShell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 HKLM WinlogonUserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:[b]64bit:[/b] - SSODLWebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 SSODLWebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 HKLM CDRomAutoRun 1
O33 MountPoints2\{834dfd97-2684-11e2-b8f5-bc5ff452d6b5}\Shell "" AutoRun
O33 MountPoints2\{834dfd97-2684-11e2-b8f5-bc5ff452d6b5}\Shell\AutoRun\command "" E:\hmh-dishonored.exe
O34 HKLM BootExecute: (autocheck autochk *)
O35:[b]64bit:[/b] - HKLM\..comfile [open] -- "%1" %*
O35:[b]64bit:[/b] - HKLM\..exefile [open] -- "%1" %*
O35 HKLM\..comfile [open] -- "%1" %*
O35 HKLM\..exefile [open] -- "%1" %*
O37:[b]64bit:[/b] - HKLM\...com [@ = comfile] -- "%1" %*
O37:[b]64bit:[/b] - HKLM\...exe [@ = exefile] -- "%1" %*
O37 HKLM\...com [@ = comfile] -- "%1" %*
O37 HKLM\...exe [@ = exefile] -- "%1" %*
O38 SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 SubSystems\\Windows: (ServerDll=sxssrv,4)
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2013.01.15 23:08:59 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe
[2013.01.15 22:19:41 000,190,464 | ---- | C] (Корпорация Майкрософт) -- C:\Users\Helge\wgsdgsdgdsgsd.exe
[2013.01.12 19:22:48 000,000,000 | ---C] -- C:\Users\Helge\AppData\Roaming\Gytodi
[2013.01.12 19:22:48 000,000,000 | ---C] -- C:\Users\Helge\AppData\Roaming\Esixiw
[2013.01.12 19:22:48 000,000,000 | ---C] -- C:\Users\Helge\AppData\Roaming\Aknu
[2013.01.07 17:07:46 000,000,000 | ---C] -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
[2013.01.07 16:56:20 000,000,000 | ---C] -- C:\Windows\SysWow64\directx
[2013.01.06 15:10:51 000,000,000 | ---C] -- C:\Users\Helge\Documents\Witcher 2
[2013.01.06 15:10:51 000,000,000 | ---C] -- C:\Users\Helge\AppData\Local\The Witcher 2
[2013.01.03 15:34:30 000,000,000 | ---C] -- C:\Users\Helge\Desktop\EC1 eVo
[2012.12.23 16:59:28 000,000,000 | ---C] -- C:\Users\Helge\AppData\Roaming\Skype
[2012.12.23 16:59:24 000,000,000 R--C] -- C:\Program Files (x86)\Skype
[2012.12.23 16:59:24 000,000,000 | ---C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.12.23 16:59:24 000,000,000 | ---C] -- C:\Program Files (x86)\Common Files\Skype
[2012.12.23 16:59:22 000,000,000 | ---C] -- C:\ProgramData\Skype
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2013.01.16 00:18:08 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.01.16 00:18:08 000,021,856 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.01.16 00:15:11 001,612,484 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.01.16 00:15:11 000,696,620 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.01.16 00:15:11 000,651,938 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.01.16 00:15:11 000,147,916 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.01.16 00:15:11 000,120,870 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.01.16 00:11:54 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.01.16 00:11:25 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2013.01.16 00:11:08 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.01.16 00:10:51 2064,912,383 | -HS- | M] () -- C:\hiberfil.sys
[2013.01.15 23:42:00 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.01.15 23:11:08 000,365,568 | ---- | M] () -- C:\Users\Helge\Desktop\gmer-2.0.18444.exe
[2013.01.15 23:09:01 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Helge\Desktop\OTL.exe
[2013.01.15 23:04:24 000,000,358 | ---- | M] () -- C:\Users\Helge\defogger_reenable
[2013.01.15 23:02:23 000,050,477 | ---- | M] () -- C:\Users\Helge\Desktop\Defogger.exe
[2013.01.15 22:19:42 000,002,890 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2013.01.15 22:19:42 000,001,049 | ---- | M] () -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013.01.15 22:19:42 000,000,159 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.reg
[2013.01.15 22:19:42 000,000,066 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.bat
[2013.01.15 22:19:41 000,190,464 | ---- | M] (Корпорация Майкрософт) -- C:\Users\Helge\wgsdgsdgdsgsd.exe
[2013.01.10 11:52:16 000,296,080 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2013.01.09 20:42:53 001,589,442 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2013.01.04 17:12:53 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.xtr
[2013.01.04 17:12:53 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2013.01.03 16:57:11 000,281,688 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.ex0
[2012.12.23 16:59:24 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2013.01.15 23:11:08 000,365,568 | ---- | C] () -- C:\Users\Helge\Desktop\gmer-2.0.18444.exe
[2013.01.15 23:04:23 000,000,358 | ---- | C] () -- C:\Users\Helge\defogger_reenable
[2013.01.15 23:02:22 000,050,477 | ---- | C] () -- C:\Users\Helge\Desktop\Defogger.exe
[2013.01.15 22:19:42 000,002,890 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js
[2013.01.15 22:19:42 000,001,049 | ---- | C] () -- C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013.01.15 22:19:42 000,000,159 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.reg
[2013.01.15 22:19:42 000,000,066 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.bat
[2013.01.15 22:19:41 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2013.01.06 15:10:29 001,589,442 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.12.23 16:59:24 000,002,517 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.11.29 15:59:51 000,281,688 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2012.11.29 15:59:49 000,076,888 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2012.11.12 16:07:25 000,000,545 | ---- | C] () -- C:\Users\Helge\AppData\Roaming\All CPU MeterV3_Settings.ini
[2012.11.03 03:58:22 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.11.03 03:27:44 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat
[2012.11.03 03:27:44 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat
[2012.11.03 03:27:44 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
[2012.05.02 13:58:10 000,029,184 | ---- | C] () -- C:\Windows\SysWow64\kdbsdk32.dll
 
[color=#E56717]========== ZeroAccess Check ==========[/color]
 
[2009.07.14 05:55:00 000,000,227 RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" C:\Windows\SysNative\shell32.dll -- [2012.06.09 06:43:10 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2013.01.15 22:23:00 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\Aknu
[2012.11.04 19:35:27 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\DAEMON Tools Lite
[2013.01.12 19:22:48 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\Esixiw
[2012.11.29 15:41:34 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\GetRightToGo
[2013.01.12 19:22:48 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\Gytodi
[2012.11.07 01:25:13 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\OpenOffice.org
[2012.11.06 18:48:02 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\Rainmeter
[2012.12.13 20:09:29 000,000,000 | ---M] -- C:\Users\Helge\AppData\Roaming\Spotify
 
[color=#E56717]========== Purity Check ==========[/color]
 
 

End of report 

Gmer.txt :

PHP-Code:
GMER 2.0.18444 hxxp://www.gmer.net
Rootkit scan 2013-01-16 00:32:03
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST1000DM003-9YN162 rev.CC4B 931,51GB
Runninggmer-2.0.18444.exeDriverC:\Users\Helge\AppData\Local\Temp\ugloipod.sys


---- User code sections GMER 2.0 ----

.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\SysWOW64\WSOCK32.dll!recv 82                                      00000000730417fa 2 bytes [0473]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\SysWOW64\WSOCK32.dll!recvfrom 88                                  0000000073041860 2 bytes [0473]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\SysWOW64\WSOCK32.dll!setsockopt 98                                0000000073041942 2 bytes [0473]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\SysWOW64\WSOCK32.dll!setsockopt 109                               000000007304194d 2 bytes [0473]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW 17                        00000000751a1401 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules 17                          00000000751a1419 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation 17                        00000000751a1431 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation 42                        00000000751a144a 2 bytes [1A75]
.text    ...                                                                                                                   * 9
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers 17                           00000000751a14dd 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA 17                    00000000751a14f5 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx 17                           00000000751a150d 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW 17                    00000000751a1525 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW 17                          00000000751a153d 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!EnumProcesses 17                               00000000751a1555 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo 17                        00000000751a156d 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo 17                          00000000751a1585 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet 17                             00000000751a159d 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA 17                          00000000751a15b5 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA 17                        00000000751a15cd 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW 20                    00000000751a16b2 2 bytes [1A75]
.text    C:\Windows\SysWOW64\PnkBstrA.exe[1696C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW 31                    00000000751a16bd 2 bytes [1A75]

---- Threads GMER 2.0 ----

Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [1312:1720]                                                    00000000746132fb
Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2376]                                                  000000007310e2db
Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2468]                                                  0000000072708de0
Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2472]                                                  0000000072708de0
Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2476]                                                  0000000072708de0
Thread   C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608:2480]                                                  0000000072704e00
---- Processes GMER 2.0 ----

Library  ? (*** suspicious ***) @ C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [1312]                                0000000074600000
Library  ? (*** suspicious ***) @ C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [1608]                              0000000075420000

---- Registry GMER 2.0 ----

Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                      
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                   C:\Program Files (x86)\Alcohol Soft\Alcohol 120\
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                   0
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                0x40 0xC6 0x78 0x9B ...
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                             
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                          0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                       0x66 0x3B 0x57 0x88 ...
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40                      
Reg      HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                0xBA 0x3C 0x81 0x69 ...
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                  
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                                       C:\Program Files (x86)\Alcohol Soft\Alcohol 120\
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                       0
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                    0x40 0xC6 0x78 0x9B ...
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)         
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew                           0x66 0x3B 0x57 0x88 ...
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew                    0xBA 0x3C 0x81 0x69 ...

---- EOF GMER 2.0 ---- 

hoffe mir kann geholfen werden :)

mfg helge

markusg 16.01.2013 14:43
hi
möchte mir gern was ansehen, dann sage ich dir, ob das formatieren nötig ist

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4*-*HKCU..\Run:*[Foged]*C:\Users\Helge\AppData\Roaming\Gytodi\isomi.exe*(Microsoft*Corporation)
[2013.01.15*22:19:42*|*000,002,890*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.js
[2013.01.15*22:19:42*|*000,001,049*|*----*|*C]*()*--*C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start*Menu\Programs\Startup\runctf.lnk
[2013.01.15*22:19:42*|*000,000,159*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.reg
[2013.01.15*22:19:42*|*000,000,066*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.bat
[2013.01.15*22:19:41*|*095,023,320*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.pad
[2013.01.12*19:22:48*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Esixiw
[2013.01.15*22:23:00*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Aknu
 :Files
C:\Users\Helge\AppData\Roaming\Gytodi
:Commands
[EMPTYFLASH]
[emptytemp]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

helgeyo 16.01.2013 15:05
soll ich die sachen im abgesicherten modus ausführen oder im normalen windows. hab grad den rechner gestartet und der sperrbildschirm ist nicht erschienen.

wollte den letzten beitrag editieren, war aber leider schon zu spät.

also der upload des zip-ordners hat geklappt und hier ist der inhalt der OTL-textdatei:

Code:
All processes killed
========== OTL ==========
File 13.01.15*22:19:42*|*000,002,890*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.js not found.
File 13.01.15*22:19:42*|*000,001,049*|*----*|*C]*()*--*C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start*Menu\Programs\Startup\runctf.lnk not found.
File 13.01.15*22:19:42*|*000,000,159*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.reg not found.
File 13.01.15*22:19:42*|*000,000,066*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.bat not found.
File 13.01.15*22:19:41*|*095,023,320*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.pad not found.
Folder 13.01.12*19:22:48*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Esixiw\ not found.
Folder 13.01.15*22:23:00*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Aknu\ not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Helge
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Helge
->Temp folder emptied: 10185466973 bytes
->Temporary Internet Files folder emptied: 3892337935 bytes
->Java cache emptied: 741924 bytes
->Google Chrome cache emptied: 403442803 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 301475745 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36098458 bytes
RecycleBin emptied: 1204224 bytes
 
Total Files Cleaned = 14.134,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 01162013_155301

Files\Folders moved on Reboot...
C:\Users\Helge\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
also das GVU sperrfenster blieb weg nach dem neustarten, jedoch wurd ich jetzt nach nem komischen java update gefragt. hab abgelehnt, da das irgendwie ungewohnt aussah, hoffe das war richtig.
achja, muss man eigentlich wenn alles fertig ist nochmal was mit dem defogger machen? hab mich direkt gefragt, wozu der gut war, da der ja kein logfile oder so erstellt hat was ich hier posten musste.

markusg 16.01.2013 17:07
hi
das hat irgendwie nicht geklappt, noch mal alles aus der codebox in otl einfügen, otl ausführen,upload noch mal machen und log bitte posten

helgeyo 16.01.2013 18:32
upload hat geklapt und hier nochmal der log:

Code:
All processes killed
========== OTL ==========
File 13.01.15*22:19:42*|*000,002,890*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.js not found.
File 13.01.15*22:19:42*|*000,001,049*|*----*|*C]*()*--*C:\Users\Helge\AppData\Roaming\Microsoft\Windows\Start*Menu\Programs\Startup\runctf.lnk not found.
File 13.01.15*22:19:42*|*000,000,159*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.reg not found.
File 13.01.15*22:19:42*|*000,000,066*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.bat not found.
File 13.01.15*22:19:41*|*095,023,320*|*----*|*C]*()*--*C:\ProgramData\dsgsdgdsgdsgw.pad not found.
Folder 13.01.12*19:22:48*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Esixiw\ not found.
Folder 13.01.15*22:23:00*|*000,000,000*|*---D*|*M]*--*C:\Users\Helge\AppData\Roaming\Aknu\ not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Helge
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Helge
->Temp folder emptied: 10306 bytes
->Temporary Internet Files folder emptied: 37427 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 30338947 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 2382 bytes
 
Total Files Cleaned = 29,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 01162013_182727

Files\Folders moved on Reboot...
C:\Users\Helge\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

markusg 16.01.2013 19:00
hi
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

helgeyo 16.01.2013 19:15
hier das ergebnis vom combofix:

Code:
ComboFix 13-01-16.01 - Helge 16.01.2013  19:07:02.1.4 - x64
Microsoft Windows 7 Home Premium  6.1.7601.1.1252.49.1031.18.8087.6518 [GMT 1:00]
ausgeführt von:: c:\users\Helge\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\dsgsdgdsgdsgw.pad
c:\users\Helge\AppData\Roaming\Gytodi
c:\users\Helge\AppData\Roaming\Gytodi\isomi.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-12-16 bis 2013-01-16  ))))))))))))))))))))))))))))))
.
.
2013-01-16 18:09 . 2013-01-16 18:09        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-01-16 14:53 . 2013-01-16 17:31        --------        d-----w-        C:\_OTL
2013-01-15 21:19 . 2013-01-15 21:19        66        ----a-w-        c:\programdata\dsgsdgdsgdsgw.bat
2013-01-15 21:19 . 2013-01-15 21:19        2890        ----a-w-        c:\programdata\dsgsdgdsgdsgw.js
2013-01-15 21:19 . 2013-01-15 21:19        159        ----a-w-        c:\programdata\dsgsdgdsgdsgw.reg
2013-01-12 18:22 . 2013-01-15 21:23        --------        d-----w-        c:\users\Helge\AppData\Roaming\Aknu
2013-01-12 18:22 . 2013-01-12 18:22        --------        d-----w-        c:\users\Helge\AppData\Roaming\Esixiw
2013-01-06 14:10 . 2013-01-06 14:10        --------        d-----w-        c:\users\Helge\AppData\Local\The Witcher 2
2012-12-23 15:59 . 2013-01-15 20:01        --------        d-----w-        c:\users\Helge\AppData\Roaming\Skype
2012-12-23 15:59 . 2012-12-23 15:59        --------        d-----w-        c:\program files (x86)\Common Files\Skype
2012-12-23 15:59 . 2012-12-23 15:59        --------        d-----r-        c:\program files (x86)\Skype
2012-12-23 15:59 . 2012-12-23 15:59        --------        d-----w-        c:\programdata\Skype
2012-12-21 19:14 . 2012-12-16 17:11        46080        ----a-w-        c:\windows\system32\atmlib.dll
2012-12-21 19:14 . 2012-12-16 14:45        367616        ----a-w-        c:\windows\system32\atmfd.dll
2012-12-21 19:14 . 2012-12-16 14:13        295424        ----a-w-        c:\windows\SysWow64\atmfd.dll
2012-12-21 19:14 . 2012-12-16 14:13        34304        ----a-w-        c:\windows\SysWow64\atmlib.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-10 12:15 . 2012-11-03 02:30        74248        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-01-10 12:15 . 2012-11-03 02:30        697864        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2013-01-04 16:12 . 2012-11-29 15:14        281688        ----a-w-        c:\windows\SysWow64\PnkBstrB.xtr
2013-01-04 16:12 . 2012-11-29 14:59        281688        ----a-w-        c:\windows\SysWow64\PnkBstrB.exe
2013-01-03 15:57 . 2012-11-29 14:59        281688        ----a-w-        c:\windows\SysWow64\PnkBstrB.ex0
2012-12-11 16:51 . 2012-11-03 02:40        99912        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2012-12-11 16:51 . 2012-11-03 02:40        129216        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2012-12-02 08:31 . 2012-04-06 01:34        5626536        ----a-w-        c:\windows\SysWow64\atiumdag.dll
2012-12-02 08:29 . 2012-12-02 08:29        11270656        ----a-w-        c:\windows\system32\drivers\atikmdag.sys
2012-12-02 08:17 . 2012-12-02 08:17        23455744        ----a-w-        c:\windows\system32\atio6axx.dll
2012-12-02 08:00 . 2012-12-02 08:00        163840        ----a-w-        c:\windows\system32\atiapfxx.exe
2012-12-02 07:59 . 2012-11-15 17:47        70144        ----a-w-        c:\windows\system32\coinst_9.01.8.dll
2012-12-02 07:58 . 2012-12-02 07:58        51200        ----a-w-        c:\windows\system32\aticalrt64.dll
2012-12-02 07:58 . 2012-12-02 07:58        46080        ----a-w-        c:\windows\SysWow64\aticalrt.dll
2012-12-02 07:58 . 2012-12-02 07:58        44544        ----a-w-        c:\windows\system32\aticalcl64.dll
2012-12-02 07:58 . 2012-12-02 07:58        44032        ----a-w-        c:\windows\SysWow64\aticalcl.dll
2012-12-02 07:58 . 2012-12-02 07:58        16082944        ----a-w-        c:\windows\system32\aticaldd64.dll
2012-12-02 07:57 . 2012-12-02 07:57        18979328        ----a-w-        c:\windows\SysWow64\atioglxx.dll
2012-12-02 07:54 . 2012-12-02 07:54        13703168        ----a-w-        c:\windows\SysWow64\aticaldd.dll
2012-12-02 07:50 . 2012-04-06 02:21        949248        ----a-w-        c:\windows\SysWow64\aticfx32.dll
2012-12-02 07:48 . 2012-04-06 02:20        1137664        ----a-w-        c:\windows\system32\aticfx64.dll
2012-12-02 07:46 . 2012-12-02 07:46        6684672        ----a-w-        c:\windows\SysWow64\atidxx32.dll
2012-12-02 07:41 . 2012-12-02 07:41        4674048        ----a-w-        c:\windows\system32\atiumd6a.dll
2012-12-02 07:37 . 2012-12-02 07:37        442368        ----a-w-        c:\windows\system32\atidemgy.dll
2012-12-02 07:37 . 2012-12-02 07:37        548864        ----a-w-        c:\windows\system32\atieclxx.exe
2012-12-02 07:36 . 2012-12-02 07:36        240640        ----a-w-        c:\windows\system32\atiesrxx.exe
2012-12-02 07:35 . 2012-12-02 07:35        120320        ----a-w-        c:\windows\system32\atitmm64.dll
2012-12-02 07:35 . 2012-12-02 07:35        21504        ----a-w-        c:\windows\system32\atimuixx.dll
2012-12-02 07:35 . 2012-12-02 07:35        59392        ----a-w-        c:\windows\system32\atiedu64.dll
2012-12-02 07:35 . 2012-12-02 07:35        43520        ----a-w-        c:\windows\SysWow64\ati2edxx.dll
2012-12-02 07:29 . 2012-04-06 01:22        3862528        ----a-w-        c:\windows\SysWow64\atiumdva.dll
2012-12-02 07:29 . 2012-04-06 01:54        7378944        ----a-w-        c:\windows\system32\atidxx64.dll
2012-12-02 07:24 . 2012-12-02 07:24        6781440        ----a-w-        c:\windows\system32\atiumd64.dll
2012-12-02 07:18 . 2012-12-02 07:18        79360        ----a-w-        c:\windows\system32\amdave64.dll
2012-12-02 07:18 . 2012-12-02 07:18        78336        ----a-w-        c:\windows\SysWow64\amdave32.dll
2012-12-02 07:18 . 2012-12-02 07:18        74240        ----a-w-        c:\windows\system32\atisamu64.dll
2012-12-02 07:18 . 2012-12-02 07:18        71168        ----a-w-        c:\windows\SysWow64\atisamu32.dll
2012-12-02 07:17 . 2012-12-02 07:17        56320        ----a-w-        c:\windows\system32\atimpc64.dll
2012-12-02 07:17 . 2012-12-02 07:17        56320        ----a-w-        c:\windows\system32\amdpcom64.dll
2012-12-02 07:17 . 2012-12-02 07:17        56832        ----a-w-        c:\windows\SysWow64\atimpc32.dll
2012-12-02 07:17 . 2012-12-02 07:17        56832        ----a-w-        c:\windows\SysWow64\amdpcom32.dll
2012-12-02 07:14 . 2012-12-02 07:14        53248        ----a-w-        c:\windows\system32\drivers\ati2erec.dll
2012-12-02 07:14 . 2012-04-06 01:11        619008        ----a-w-        c:\windows\system32\atiadlxx.dll
2012-12-02 07:14 . 2012-12-02 07:14        421888        ----a-w-        c:\windows\SysWow64\atiadlxy.dll
2012-12-02 07:13 . 2012-12-02 07:13        17920        ----a-w-        c:\windows\system32\atig6pxx.dll
2012-12-02 07:13 . 2012-12-02 07:13        14848        ----a-w-        c:\windows\SysWow64\atiglpxx.dll
2012-12-02 07:13 . 2012-12-02 07:13        14848        ----a-w-        c:\windows\system32\atiglpxx.dll
2012-12-02 07:13 . 2012-12-02 07:13        41984        ----a-w-        c:\windows\system32\atig6txx.dll
2012-12-02 07:13 . 2012-12-02 07:13        33280        ----a-w-        c:\windows\SysWow64\atigktxx.dll
2012-12-02 07:13 . 2012-12-02 07:13        546816        ----a-w-        c:\windows\system32\drivers\atikmpag.sys
2012-12-02 07:11 . 2012-04-06 01:09        130048        ----a-w-        c:\windows\system32\atiuxp64.dll
2012-12-02 07:11 . 2012-12-02 07:11        109568        ----a-w-        c:\windows\SysWow64\atiuxpag.dll
2012-12-02 07:11 . 2012-12-02 07:11        104448        ----a-w-        c:\windows\system32\atiu9p64.dll
2012-12-02 07:11 . 2012-04-06 01:09        83968        ----a-w-        c:\windows\SysWow64\atiu9pag.dll
2012-11-30 04:45 . 2013-01-09 18:43        44032        ----a-w-        c:\windows\apppatch\acwow64.dll
2012-11-29 14:59 . 2012-11-29 14:59        76888        ----a-w-        c:\windows\SysWow64\PnkBstrA.exe
2012-11-27 17:57 . 2012-11-27 17:57        127034        ------r-        c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2012-11-15 12:10 . 2012-11-15 12:10        222720        ----a-w-        c:\windows\system32\clinfo.exe
2012-11-15 12:10 . 2012-11-15 12:10        76288        ----a-w-        c:\windows\system32\OpenVideo64.dll
2012-11-15 12:10 . 2012-11-15 12:10        65536        ----a-w-        c:\windows\SysWow64\OpenVideo.dll
2012-11-15 12:10 . 2012-11-15 12:10        64512        ----a-w-        c:\windows\system32\OVDecode64.dll
2012-11-15 12:10 . 2012-11-15 12:10        56320        ----a-w-        c:\windows\SysWow64\OVDecode.dll
2012-11-15 12:09 . 2012-11-15 12:09        34523136        ----a-w-        c:\windows\system32\amdocl64.dll
2012-11-15 12:05 . 2012-11-15 12:05        28737536        ----a-w-        c:\windows\SysWow64\amdocl.dll
2012-11-15 12:01 . 2012-11-15 12:01        54784        ----a-w-        c:\windows\system32\OpenCL.dll
2012-11-15 12:01 . 2012-11-15 12:01        50176        ----a-w-        c:\windows\SysWow64\OpenCL.dll
2012-11-14 07:06 . 2012-12-13 00:46        17811968        ----a-w-        c:\windows\system32\mshtml.dll
2012-11-14 06:32 . 2012-12-13 00:46        10925568        ----a-w-        c:\windows\system32\ieframe.dll
2012-11-14 06:11 . 2012-12-13 00:46        2312704        ----a-w-        c:\windows\system32\jscript9.dll
2012-11-14 06:04 . 2012-12-13 00:46        1346048        ----a-w-        c:\windows\system32\urlmon.dll
2012-11-14 06:04 . 2012-12-13 00:46        1392128        ----a-w-        c:\windows\system32\wininet.dll
2012-11-14 06:02 . 2012-12-13 00:46        1494528        ----a-w-        c:\windows\system32\inetcpl.cpl
2012-11-14 06:02 . 2012-12-13 00:46        237056        ----a-w-        c:\windows\system32\url.dll
2012-11-14 05:59 . 2012-12-13 00:46        85504        ----a-w-        c:\windows\system32\jsproxy.dll
2012-11-14 05:58 . 2012-12-13 00:46        816640        ----a-w-        c:\windows\system32\jscript.dll
2012-11-14 05:57 . 2012-12-13 00:46        599040        ----a-w-        c:\windows\system32\vbscript.dll
2012-11-14 05:57 . 2012-12-13 00:46        173056        ----a-w-        c:\windows\system32\ieUnatt.exe
2012-11-14 05:55 . 2012-12-13 00:46        2144768        ----a-w-        c:\windows\system32\iertutil.dll
2012-11-14 05:55 . 2012-12-13 00:46        729088        ----a-w-        c:\windows\system32\msfeeds.dll
2012-11-14 05:53 . 2012-12-13 00:46        96768        ----a-w-        c:\windows\system32\mshtmled.dll
2012-11-14 05:52 . 2012-12-13 00:46        2382848        ----a-w-        c:\windows\system32\mshtml.tlb
2012-11-14 05:46 . 2012-12-13 00:46        248320        ----a-w-        c:\windows\system32\ieui.dll
2012-11-14 02:09 . 2012-12-13 00:46        1800704        ----a-w-        c:\windows\SysWow64\jscript9.dll
2012-11-14 01:58 . 2012-12-13 00:46        1427968        ----a-w-        c:\windows\SysWow64\inetcpl.cpl
2012-11-14 01:57 . 2012-12-13 00:46        1129472        ----a-w-        c:\windows\SysWow64\wininet.dll
2012-11-14 01:49 . 2012-12-13 00:46        142848        ----a-w-        c:\windows\SysWow64\ieUnatt.exe
2012-11-14 01:48 . 2012-12-13 00:46        420864        ----a-w-        c:\windows\SysWow64\vbscript.dll
2012-11-14 01:44 . 2012-12-13 00:46        2382848        ----a-w-        c:\windows\SysWow64\mshtml.tlb
2012-11-09 05:45 . 2012-12-12 13:33        2048        ----a-w-        c:\windows\system32\tzres.dll
2012-11-09 04:42 . 2012-12-12 13:33        2048        ----a-w-        c:\windows\SysWow64\tzres.dll
2012-11-04 21:16 . 2012-11-04 21:16        868848        ----a-w-        c:\windows\system32\drivers\sptd.sys
2012-11-04 20:04 . 2012-11-04 20:04        91648        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe
2012-11-04 20:04 . 2012-11-04 20:04        89088        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe
2012-11-04 20:04 . 2012-11-04 20:04        89088        ----a-w-        c:\windows\system32\ie4uinit.exe
2012-11-04 20:04 . 2012-11-04 20:04        86528        ----a-w-        c:\windows\SysWow64\iesysprep.dll
2012-11-04 20:04 . 2012-11-04 20:04        85504        ----a-w-        c:\windows\system32\iesetup.dll
2012-11-04 20:04 . 2012-11-04 20:04        82432        ----a-w-        c:\windows\system32\icardie.dll
2012-11-04 20:04 . 2012-11-04 20:04        76800        ----a-w-        c:\windows\SysWow64\SetIEInstalledDate.exe
2012-11-04 20:04 . 2012-11-04 20:04        76800        ----a-w-        c:\windows\system32\tdc.ocx
2012-11-04 20:04 . 2012-11-04 20:04        74752        ----a-w-        c:\windows\SysWow64\RegisterIEPKEYs.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]
"Steam"="c:\program files (x86)\Steam\steam.exe" [2012-12-04 1354736]
"Spotify Web Helper"="c:\users\Helge\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-04 1199576]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2012-01-26 291608]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-12-11 384800]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-12-02 642216]
.
c:\users\Helge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.4.1.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2012-8-13 1199104]
Rainmeter.lnk - c:\program files\Rainmeter\Rainmeter.exe [2012-7-3 41160]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2012-11-27 67128]
SetPointII.lnk - c:\program files\Logitech\SetPoint II\SetPointII.exe [2007-8-30 809984]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-11-09 160944]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 WinRing0_1_2_0;WinRing0_1_2_0;c:\users\Helge\AppData\Local\Temp\tmp4C3B.tmp [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2012-11-04 868848]
S0 iusb3hcs;Intel(R) USB 3.0 Hostcontroller-Switchtreiber;c:\windows\system32\DRIVERS\iusb3hcs.sys [2012-01-26 16152]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-09-24 27800]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-11-04 283200]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-12-02 240640]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-12-11 85280]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2012-05-14 96896]
S3 iusb3hub;Intel(R) USB 3.0-Hubtreiber;c:\windows\system32\DRIVERS\iusb3hub.sys [2012-01-26 356120]
S3 iusb3xhc;Intel(R) USB 3.0 eXtensible-Hostcontrollertreiber;c:\windows\system32\DRIVERS\iusb3xhc.sys [2012-01-26 787736]
S3 MBfilt;MBfilt;c:\windows\system32\drivers\MBfilt64.sys [2009-11-17 32344]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-08-23 565352]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-01-15 20:44        1606760        ----a-w-        c:\program files (x86)\Google\Chrome\Application\24.0.1312.52\Installer\setup.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 02:30]
.
2013-01-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-03 02:30]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-10-17 13307496]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-11-05 2345848]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 134160]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 192.168.178.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-Foged - c:\users\Helge\AppData\Roaming\Gytodi\isomi.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinRing0_1_2_0]
"ImagePath"="\??\c:\users\Helge\AppData\Local\Temp\tmp4C3B.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-01-16  19:11:07
ComboFix-quarantined-files.txt  2013-01-16 18:11
.
Vor Suchlauf: 9 Verzeichnis(se), 892.162.310.144 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 891.641.565.184 Bytes frei
.
- - End Of File - - 6DB8849EE22CFDE3B464082DB2D416DC

markusg 16.01.2013 20:41
öffne bitte c: qoobox rechtsklick quarantain, packen, und im upload channel hochladen.
Trojaner-Board Upload Channel
wenn fertig, bitte melden.

helgeyo 16.01.2013 20:45
erledigt.
habe das wieder per
rechtsklick>senden an>komprimierter zip ordner
gepackt.

markusg 16.01.2013 21:06
passt.
nutzt du den PC für onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

helgeyo 16.01.2013 21:08
nutze paypal, ja. ansonsten fürs studium

markusg 16.01.2013 21:11
ok, du hast eine Malware (zbot) die es auf Daten sensibler Art abgesehen hatt, also auch paypal Zugang etc
Da man nicht 100 %ig sicher sein kann, dass wir alle erwischen, du aber ein sauberes System benötigst, ist folgenes zu tun:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

helgeyo 16.01.2013 21:22
muss ich das aus dem chip forum da komplett durcharbeiten? oder nur n bestimmten punkt, wo das sichern von daten angesprochen wird?

markusg 16.01.2013 22:33
Hi
das erstellen der CD und sichern der Daten.

helgeyo 17.01.2013 12:38
okay, mache das grad mit dem formatieren und neu aufspielen von windows. soll ich dann eigentlich wirklich alle passwörter ändern oder nur die wichtigen wie email,paypal etc?

und wie ich die gesicherten daten (hab nur savegames von einem spiel "gerettet" und jetzt auf nem usb-stick) auf schädlinge überprüfe, da bräuchte ich auch hilfe.

edit:
das formatieren beim asuwählen der festplatte im windows 7 setup hat nur wenige sekunden gedauert, ist das normal?


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:22 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131