Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU mit YouCam3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.07.2013, 02:24   #1
OliverMA
 
GVU mit YouCam3 - Unglücklich

GVU mit YouCam3



Hallo, liebe Forumsgemeinde!
Habe jetzt schon einiges hier über den GVU-Bundestrojaner angelesen und wollte den allgemeinen Rat gleich befolgen, möglichst nichts einfach auf eigene Faust zu unternehmen oder für andere User bestimmte Massnahmen einfach nachzuahmen...

Habe mir also vor ca. 1 Std den GVU-Trojaner eingefangen:
Samsung Laptop, Windows 7, Norton Internet Security...

Ich habe hier jetzt einiges über "OTL´s" usw. gelesen... - und Codes... - usw... - habe aber wohl eher absolut keine Ahnung, daher wäre ich für eine Schritt-für-Schritt-Anleitung dankbar...
Und natürlich dafür, dass ich - darauf wird es wohl hinauslaufen... - alle Schritte unternehmen kann, um Unersetzliches sichern zu können und dann ein neues Software-Setup draufzuspielen...

Ich hab schon gelesen, das "Ryder" montags Ruhetag hat und keine Beratungen macht... - aber vielleicht hilft mir jemand anderes weiter?
Vielen Dank im Voraus!
LG, Oliver

Alt 08.07.2013, 04:06   #2
t'john
/// Helfer-Team
 
GVU mit YouCam3 - Standard

GVU mit YouCam3





Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

__________________

__________________

Alt 16.07.2013, 13:48   #3
OliverMA
 
GVU mit YouCam3 - Pfeil

GVU mit YouCam3



Hallo t'john !
Hier nun das Ergebnis des FRST-Scans:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 16-07-2013 02
Ran by SYSTEM on 16-07-2013 13:50:31
Running from H:\
Windows 7 Home Premium (X64) OS Language: English(US)
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [11613288 2010-11-16] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2149160 2010-05-20] (Synaptics Incorporated)
HKLM-x32\...\Run: [] -  [x]
HKLM-x32\...\Run: [ApnUpdater] - "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [1564872 2012-06-06] (Ask)
HKLM-x32\...\Run: [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2012-02-20] (Apple Inc.)
HKLM-x32\...\Run: [QuickTime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2012-04-18] (Apple Inc.)
HKU\REVILO\...\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" [152872 2008-01-22] (Nero AG)
HKU\REVILO\...\Run: [msnmsgr] - "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [4240760 2010-09-22] (Microsoft Corporation)
HKU\REVILO\...\Run: [{CC2F9F03-C104-5CE5-AA51-CD0EC3D8F3A5}] - C:\Users\REVILO\AppData\Roaming\Eztoe\boaql.exe [9721148 2012-10-17] (Microsoft)
HKU\REVILO\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\REVILO\AppData\Local\Temp\ajvpvhdnukachhxsw.exe [x] <===== ATTENTION
HKU\REVILO\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\REVILO\...\Command Processor: "C:\Users\REVILO\AppData\Local\Temp\ajvpvhdnukachhxsw.exe" <===== ATTENTION!
AppInit_DLLs: C:\Windows\system32\nvinitx.dll [226920 2011-01-17] (NVIDIA Corporation)
AppInit_DLLs-x32: C:\Windows\SysWOW64\nvinit.dll [192616 2011-01-17] (NVIDIA Corporation)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Bluetooth.lnk
ShortcutTarget: Bluetooth.lnk -> C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\MCtlSvc.lnk
ShortcutTarget: MCtlSvc.lnk -> C:\Program Files (x86)\congstar\Internet-Manager\Bin\mcserver.exe (ZTE)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Scanner Finder.lnk
ShortcutTarget: Scanner Finder.lnk -> C:\Program Files (x86)\ScanWizard 5\ScannerFinder.exe ()

==================== Services (Whitelisted) =================

S2 AAV UpdateService; C:\Program Files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
S2 NIS; C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe [144368 2013-05-20] (Symantec Corporation)
S3 NMIndexingService; C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe [275752 2008-01-22] (Nero AG)
S2 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe [2804568 2010-05-31] (Symantec Corporation)
S2 RichVideo; C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe [244904 2009-11-30] ()

==================== Drivers (Whitelisted) ====================

S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-31] (Symantec Corporation)
S0 BMLoad; C:\Windows\System32\drivers\BMLoad.sys [16512 2009-12-14] (Bytemobile, Inc.)
S1 ccSet_NIS; C:\Windows\system32\drivers\NISx64\1404000.028\ccSetx64.sys [169048 2013-04-15] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2012-10-07] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2012-10-07] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [138912 2013-04-23] (Symantec Corporation)
S3 HSPADataCardusbmdm; C:\Windows\System32\DRIVERS\HSPADataCardusbmdm.sys [122752 2011-08-19] (HSPADataCard Incorporated)
S3 HSPADataCardusbnmea; C:\Windows\System32\DRIVERS\HSPADataCardusbnmea.sys [122752 2011-08-19] (HSPADataCard Incorporated)
S3 HSPADataCardusbser; C:\Windows\System32\DRIVERS\HSPADataCardusbser.sys [122752 2011-08-19] (HSPADataCard Incorporated)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-03-27] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-03-27] (Symantec Corporation)
S3 LgBttPort; C:\Windows\System32\DRIVERS\lgbtpt64.sys [16384 2009-09-28] (LG Electronics Inc.)
S3 lgbusenum; C:\Windows\System32\DRIVERS\lgbtbs64.sys [14848 2009-09-28] (LG Electronics Inc.)
S3 LGVMODEM; C:\Windows\System32\DRIVERS\lgvmdm64.sys [17408 2009-09-28] (LG Electronics Inc.)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\VirusDefs\20130707.005\ENG64.SYS [126040 2013-05-22] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\VirusDefs\20130707.005\ENG64.SYS [126040 2013-05-22] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\VirusDefs\20130707.005\EX64.SYS [2098776 2013-05-22] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\VirusDefs\20130707.005\EX64.SYS [2098776 2013-05-22] (Symantec Corporation)
S3 SRTSP; C:\Windows\System32\Drivers\NISx64\1404000.028\SRTSP64.SYS [796760 2013-05-15] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\NISx64\1404000.028\SRTSPX64.SYS [36952 2013-03-04] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\NISx64\1404000.028\SYMDS64.SYS [493656 2013-05-20] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\NISx64\1404000.028\SYMEFA64.SYS [1139800 2013-05-22] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT64x86.SYS [177312 2013-06-18] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\NISx64\1404000.028\Ironx64.SYS [224416 2013-03-04] (Symantec Corporation)
S1 SymNetS; C:\Windows\System32\Drivers\NISx64\1404000.028\SYMNETS.SYS [433752 2013-04-24] (Symantec Corporation)
S1 tcpipBM; C:\Windows\system32\drivers\tcpipBM.sys [39552 2009-12-14] (Bytemobile, Inc.)
S1 tcpipBM; C:\Windows\system32\drivers\tcpipBM.sys [39552 2009-12-14] (Bytemobile, Inc.)
S2 TurboB; C:\Windows\System32\DRIVERS\TurboB.sys [13832 2010-04-16] ()
S3 usbbus; C:\Windows\System32\DRIVERS\lgx64bus.sys [17920 2008-11-19] (LG Electronics Inc.)
S3 UsbDiag; C:\Windows\System32\DRIVERS\lgx64diag.sys [27136 2008-11-19] (LG Electronics Inc.)
S3 USBModem; C:\Windows\System32\DRIVERS\lgx64modem.sys [33792 2008-11-19] (LG Electronics Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-16 13:31 - 2013-07-16 13:31 - 00000000 ____D C:\FRST
2013-07-07 16:22 - 2013-07-07 16:22 - 00393493 _____ C:\Users\REVILO\AppData\Roaming\2433f433
2013-07-07 16:22 - 2013-07-07 16:22 - 00393478 _____ C:\ProgramData\2433f433
2013-06-29 03:29 - 2013-06-29 03:32 - 00001136 _____ C:\Users\REVILO\Desktop\Mail_an_MB_Facharztzeiten.txt
2013-06-23 02:05 - 2013-06-23 02:05 - 00000000 ____D C:\Program Files (x86)\Opera
2013-06-23 02:04 - 2013-06-23 02:04 - 13168216 _____ (Opera Software ASA) C:\Users\REVILO\Downloads\Opera_1215_int_Setup.exe
2013-06-19 23:01 - 2013-06-19 23:01 - 00000000 ____D C:\Windows\System32\Tasks\Norton Internet Security
2013-06-17 01:45 - 2013-06-17 01:45 - 00000000 _____ C:\Users\REVILO\Desktop\bestätigung.xps

==================== One Month Modified Files and Folders =======

2013-07-16 13:31 - 2013-07-16 13:31 - 00000000 ____D C:\FRST
2013-07-16 03:18 - 2013-04-13 03:04 - 00262144 _____ C:\Windows\System32\Ikeext.etl
2013-07-16 03:17 - 2009-07-13 21:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-16 03:17 - 2009-07-13 20:51 - 00038657 _____ C:\Windows\setupact.log
2013-07-16 03:12 - 2010-12-09 10:17 - 00654594 _____ C:\Windows\System32\perfh007.dat
2013-07-16 03:12 - 2010-12-09 10:17 - 00130208 _____ C:\Windows\System32\perfc007.dat
2013-07-16 03:12 - 2009-07-13 21:13 - 01500254 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-16 03:06 - 2010-12-09 09:40 - 01514316 _____ C:\Windows\WindowsUpdate.log
2013-07-16 03:06 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\tracing
2013-07-07 16:37 - 2009-07-13 20:45 - 00013936 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-07 16:37 - 2009-07-13 20:45 - 00013936 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-07 16:32 - 2012-12-27 16:32 - 00000000 ____D C:\Users\UpdatusUser\AppData\Local\CrashDumps
2013-07-07 16:22 - 2013-07-07 16:22 - 00393493 _____ C:\Users\REVILO\AppData\Roaming\2433f433
2013-07-07 16:22 - 2013-07-07 16:22 - 00393478 _____ C:\ProgramData\2433f433
2013-07-07 16:22 - 2013-03-31 06:30 - 00000000 ____D C:\Users\REVILO\Documents\Youcam
2013-07-07 16:13 - 2012-11-29 15:12 - 00000000 ____D C:\Users\REVILO\Documents\UseNeXT
2013-07-07 16:10 - 2012-04-28 23:06 - 00000000 ____D C:\Users\REVILO\AppData\Roaming\UseNeXT
2013-07-07 00:34 - 2012-02-08 22:02 - 00000000 ____D C:\Users\REVILO\AppData\Local\Windows Live
2013-07-07 00:33 - 2012-10-13 01:29 - 00000000 ____D C:\Users\REVILO\Tracing
2013-07-06 15:59 - 2012-11-09 17:45 - 00000000 ____D C:\Users\REVILO\AppData\Roaming\tor
2013-07-05 10:28 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\System32\NDF
2013-06-29 03:32 - 2013-06-29 03:29 - 00001136 _____ C:\Users\REVILO\Desktop\Mail_an_MB_Facharztzeiten.txt
2013-06-28 23:55 - 2013-01-17 02:53 - 00000000 ____D C:\Users\REVILO\AppData\Roaming\Skype
2013-06-28 15:06 - 2010-12-08 17:52 - 00064312 _____ C:\Windows\PFRO.log
2013-06-27 07:35 - 2012-11-09 17:45 - 00000000 ____D C:\Users\REVILO\AppData\Roaming\Ixub
2013-06-25 09:45 - 2012-05-08 20:09 - 00000000 ____D C:\Users\REVILO\AppData\Roaming\vlc
2013-06-23 02:05 - 2013-06-23 02:05 - 00000000 ____D C:\Program Files (x86)\Opera
2013-06-23 02:05 - 2013-01-29 12:47 - 00000000 ____D C:\Users\REVILO\AppData\Roaming\Opera
2013-06-23 02:05 - 2013-01-29 12:47 - 00000000 ____D C:\Users\REVILO\AppData\Local\Opera
2013-06-23 02:04 - 2013-06-23 02:04 - 13168216 _____ (Opera Software ASA) C:\Users\REVILO\Downloads\Opera_1215_int_Setup.exe
2013-06-23 01:59 - 2012-04-12 01:05 - 00000000 ____D C:\Users\REVILO\Documents\Privat
2013-06-20 09:41 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\rescache
2013-06-19 23:01 - 2013-06-19 23:01 - 00000000 ____D C:\Windows\System32\Tasks\Norton Internet Security
2013-06-19 22:56 - 2010-12-08 16:58 - 00000000 ____D C:\Windows\System32\Drivers\NISx64
2013-06-19 22:55 - 2012-04-02 11:07 - 00003234 _____ C:\Windows\System32\Tasks\Norton WSC Integration
2013-06-18 21:51 - 2010-12-08 16:58 - 00177312 _____ (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT64x86.SYS
2013-06-18 21:51 - 2010-12-08 16:58 - 00007631 _____ C:\Windows\System32\Drivers\SYMEVENT64x86.CAT
2013-06-17 03:12 - 2012-02-04 01:57 - 00000000 ____D C:\Users\REVILO\AppData\Roaming\SoftGrid Client
2013-06-17 01:45 - 2013-06-17 01:45 - 00000000 _____ C:\Users\REVILO\Desktop\bestätigung.xps
2013-06-17 01:45 - 2012-02-11 04:41 - 00000000 ____D C:\Users\REVILO\AppData\Local\CrashDumps

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-07-02 10:39:55

==================== Memory info =========================== 

Percentage of memory in use: 12%
Total physical RAM: 5940.49 MB
Available physical RAM: 5227.63 MB
Total Pagefile: 5938.64 MB
Available Pagefile: 5220.98 MB
Total Virtual: 8192 MB
Available Virtual: 8191.86 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:142 GB) (Free:55.59 GB) NTFS (Disk=0 Partition=2)
Drive e: () (Fixed) (Total:300.66 GB) (Free:120.76 GB) NTFS (Disk=0 Partition=3)
Drive f: (RECOVERY) (Fixed) (Total:23 GB) (Free:22.62 GB) NTFS (Disk=0 Partition=4) ==>[System with boot components (obtained from reading drive)]
Drive h: (FLASH DRIVE) (Removable) (Total:3.71 GB) (Free:3.5 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (SYSTEM) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 466 GB) (Disk ID: 3EC49987)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=142 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=301 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=23 GB) - (Type=27)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: B2A6ADDE)
Partition 1: (Not Active) - (Size=4 GB) - (Type=0C)


LastRegBack: 2013-06-20 09:31

==================== End Of Log ============================
         
--- --- ---

--- --- ---


Kam leider nicht früher dazu, hier weiterzuarbeiten!
Danke für Deine Hilfe schon mal bisher!

Gruss, Oliver
__________________

Alt 16.07.2013, 15:24   #4
t'john
/// Helfer-Team
 
GVU mit YouCam3 - Standard

GVU mit YouCam3



Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
HKU\REVILO\...\Run: [{CC2F9F03-C104-5CE5-AA51-CD0EC3D8F3A5}] - C:\Users\REVILO\AppData\Roaming\Eztoe\boaql.exe [9721148 2012-10-17] (Microsoft) 
HKU\REVILO\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\REVILO\AppData\Local\Temp\ajvpvhdnukachhxsw.exe [x] <===== ATTENTION 
HKU\REVILO\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION 
HKU\REVILO\...\Command Processor: "C:\Users\REVILO\AppData\Local\Temp\ajvpvhdnukachhxsw.exe" <===== ATTENTION! 
2013-07-07 16:22 - 2013-07-07 16:22 - 00393493 _____ C:\Users\REVILO\AppData\Roaming\2433f433 
2013-07-07 16:22 - 2013-07-07 16:22 - 00393478 _____ C:\ProgramData\2433f433
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



dann neustarten, und:

2. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.07.2013, 23:39   #5
OliverMA
 
GVU mit YouCam3 - Pfeil

GVU mit YouCam3



Guten Morgen, t'john!

Ich habe alles abgearbeitet... - ich weiss nicht, was gemeint war mit "wenn der OTL-Fix nicht richtig durchgelaufen ist"... - aber ich denke mal, dass das bei mir kein Problem ist, denn bei mir liefen alle Scans problemlos durch. Hier nun die Logs der Reihe nach:

1.) "Fixlog.txt":
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 16-07-2013 02
Ran by SYSTEM at 2013-07-16 19:34:46 Run:1
Running from H:\
Boot Mode: Recovery
==============================================

HKU\REVILO\Software\Microsoft\Windows\CurrentVersion\Run\\{CC2F9F03-C104-5CE5-AA51-CD0EC3D8F3A5} => Value deleted successfully.
HKU\REVILO\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
HKU\REVILO\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\REVILO\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\Users\REVILO\AppData\Roaming\2433f433  => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.

==== End of Fixlog ====
         
2. Logfile von "Malwarebytes":
Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.16.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
REVILO :: REVILO-NOTEBOOK [Administrator]

16.07.2013 20:01:25
mbam-log-2013-07-16 (20-01-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 445851
Laufzeit: 1 Stunde(n), 41 Minute(n), 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\REVILO\AppData\Roaming\Eztoe\boaql.exe (Trojan.VBKrypt) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
3. Logdatei von "AdwCleaner":
Code:
ATTFilter
# AdwCleaner v2.305 - Datei am 16/07/2013 um 22:57:57 erstellt
# Aktualisiert am 11/07/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : REVILO - REVILO-NOTEBOOK
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\REVILO\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Program Files (x86)\Ask.com
Ordner Gelöscht : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\ProgramData\Ask
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\Users\REVILO\AppData\Local\Babylon
Ordner Gelöscht : C:\Users\REVILO\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\REVILO\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\REVILO\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Users\REVILO\AppData\Roaming\OpenCandy
Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{acaa314b-eeba-48e4-ad47-84e31c44796c}]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v10.0.9200.16611

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Opera v12.16.1860.0

Datei : C:\Users\REVILO\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [4686 octets] - [16/07/2013 22:55:50]
AdwCleaner[S1].txt - [4627 octets] - [16/07/2013 22:57:57]

########## EOF - C:\AdwCleaner[S1].txt - [4687 octets] ##########
         

Vielen Dank für Deine Zeit und Mühe bisher... - bin bereit für die nächsten Schritte :-)

Gruss, Oliver


Alt 17.07.2013, 14:57   #6
t'john
/// Helfer-Team
 
GVU mit YouCam3 - Standard

GVU mit YouCam3



Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
--> GVU mit YouCam3

Alt 12.10.2013, 12:18   #7
t'john
/// Helfer-Team
 
GVU mit YouCam3 - Standard

GVU mit YouCam3



Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu GVU mit YouCam3
absolut, allgemeine, allgemeinen, andere, anderes, bestimmte, einfach, eingefangen, faust, gefangen, gvu-bundestrojaner, hilft, internet, laptop, leitung, natürlich, neues, nichts, norton, sichern, trojan.vbkrypt, unternehmen, windows, windows 7




Zum Thema GVU mit YouCam3 - Hallo, liebe Forumsgemeinde! Habe jetzt schon einiges hier über den GVU-Bundestrojaner angelesen und wollte den allgemeinen Rat gleich befolgen, möglichst nichts einfach auf eigene Faust zu unternehmen oder für andere - GVU mit YouCam3...
Archiv
Du betrachtest: GVU mit YouCam3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.