Hallo Leute
Habe mir auf meinem Laptop grade den GVU Trojaner eingefangen...nichts geht mehr...brauche dringend Hilfe...bin Laie was das angeht.....Danke

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean bekommst.

Los geht's:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo Jürgen....Danke für die schnelle Antwort....frst scant grade

code ist zu lang sagt mir das Forum.....es sind 96 Seiten......

Zitat:

Zitat von bubbel11

code ist zu lang sagt mir das Forum.....es sind 96 Seiten......

Free File Hosting - Online Storage; Upload Mp3, Videos, Music. Backup Files
Hier hochladen bitte.

<a href=hxxp://www.filedropper.com/scanresultoffarbarrecovery><img src=hxxp://www.filedropper.com/download_button.png width=127 height=145 border=0/></a><br /><div style=font-size:9px;font-family:Arial, Helvetica, sans-serif;width:127px;font-color:#44a854;> <a href=hxxp://www.filedropper.com >file storage</a></div>

URL Link posten bitte

hxxp://www.filedropper.com/scanresultoffarbarrecovery_1

das ist ein doc.


Bitte das Log als .txt hochladen und link posten

hxxp://www.filedropper.com/scanresultoffarbarrecovery_2

nu aber....lach

Wir machen jetzt erstmal einen Fix in den Reparatur-Oprionen, so dass wir dann im Normalmodus mit der Bereinigung fortfahren können.

Schritt 1


(Mit Hilfe eines anderen PCs)
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code: Alles auswählenAufklappen

ATTFilter

HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] ()
HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () 
Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01]
Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01]
C:\Users\Marion\AppData\Roaming\loadit.exe 
2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt
2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe
         

Speichere dieses bitte als Fixlist.txt auf den USB-Stick, in das gleiche Verzeichnis in dem sich auch die FRST.exe befindet.

• Stecke den USB-Stick mit FRST.exe und Fixlist.txt an den infizierten PC an und boote wieder in die Reparaturoptionen.
• Wähle in den Reparaturoptionen: Eingabeaufforderung
• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird Dir der Laufwerksbuchstabe Deines USB Sticks angezeigt (Sollte F:\ sein).
• Schließe das notepad-Fenster wieder.
• Starte die FRST.exe durch den Befehl
  
  Code: Alles auswählenAufklappen

  ATTFilter

  f:\frst64.exe
           

  in der Eingabeaufforderung.
• Drücke auf den Fix Button.
  Es wird auf dem USB-Stick eine Fixlog.txt erstellt, deren Inhalt bitte ich Dich zu posten.

Kannst Du den Rechner wieder im Normalmodus starten? Falls ja, dann gleich weiter mit Schritt 2.

Schritt 2



Verschiebe FRST vom USB-Stick auf den Desktop.

• Starte dann FRST.
• Markiere auch die checkbox und drücke Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.

Bitte poste Fixlog.txt, FRST.txt und Addition.txt in Deiner nächsten Antwort.

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-04-2015 01
Ran by SYSTEM at 2015-05-01 15:44:10 Run:1
Running from F:\
Boot Mode: Recovery
==============================================

Content of fixlist:
*****************
HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] ()
HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () 
Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01]
Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01]
C:\Users\Marion\AppData\Roaming\loadit.exe 
2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt
2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe
         
*****************

HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => value deleted successfully.
HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully.
C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk => Moved successfully.
C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk => Moved successfully.
C:\Users\Marion\AppData\Roaming\loadit.exe => Moved successfully.
C:\Users\Marion\AppData\Roaming\url.txt => Moved successfully.
C:\Users\Marion\AppData\Roaming\autostarter.exe => Moved successfully.

==== End of Fixlog 15:44:11 ====
         

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 29-04-2015 01
Ran by SYSTEM at 2015-05-01 15:44:10 Run:1
Running from F:\
Boot Mode: Recovery
==============================================

Content of fixlist:
*****************
HKU\Marion\...\Winlogon: [Userinit] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] ()
HKU\Marion\...\Winlogon: [Shell] C:\Users\Marion\AppData\Roaming\loadit.exe [604948 2015-05-01] () 
Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk [2015-05-01]
Startup: C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk [2015-05-01]
C:\Users\Marion\AppData\Roaming\loadit.exe 
2015-05-01 10:53 - 2015-05-01 10:53 - 00000035 _____ () C:\Users\Marion\AppData\Roaming\url.txt
2015-05-01 10:48 - 2015-03-08 08:35 - 61796497 _____ () C:\Users\Marion\AppData\Roaming\autostarter.exe
         
*****************

HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => value deleted successfully.
HKU\Marion\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => value deleted successfully.
C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutoStarter.lnk => Moved successfully.
C:\Users\Marion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ja.lnk => Moved successfully.
C:\Users\Marion\AppData\Roaming\loadit.exe => Moved successfully.
C:\Users\Marion\AppData\Roaming\url.txt => Moved successfully.
C:\Users\Marion\AppData\Roaming\autostarter.exe => Moved successfully.

==== End of Fixlog 15:44:11 ====
         

Das ist zweimal das gleiche Log.

sorry....hab nict gesehen das wir schon auf seite 2 sind

Code: Alles auswählenAufklappen

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 29-04-2015 01
Ran by Marion at 2015-05-01 15:59:59
Running from C:\Users\Marion\Desktop
Boot Mode: Normal
==========================================================


==================== Accounts: =============================

Administrator (S-1-5-21-1588844970-614624912-4270772625-500 - Administrator - Disabled)
Gast (S-1-5-21-1588844970-614624912-4270772625-501 - Limited - Disabled)
Marion (S-1-5-21-1588844970-614624912-4270772625-1001 - Administrator - Enabled) => C:\Users\Marion

==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

Das Haus am See - Kinder der Stille SA 1.00 (HKLM-x32\...\Das Haus am See - Kinder der Stille SA 1.00) (Version: 1.00 - Alawar)
Die Seelenfalle - Die Daemonen in dir 1.00 (HKLM-x32\...\Die Seelenfalle - Die Daemonen in dir 1.00) (Version: 1.00 - Deutschland spielt)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 42.0.2311.135 - Google Inc.)
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.26.9 - Google Inc.) Hidden
IncrediMail (x32 Version: 6.6.0.5288 - IncrediMail) Hidden
IncrediMail 2.5 (HKLM-x32\...\IncrediMail) (Version: 6.6.0.5288 - IncrediMail Ltd.)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
MySQL Servers and Clients 3.23.52 (HKLM-x32\...\MySQL Servers and Clients 3.23.52) (Version:  - )
OpenOffice 4.1.1 (HKLM-x32\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)
Photo Notifier and Animation Creator (HKLM-x32\...\Photo Notifier and Animation Creator) (Version: 1.0.0.1009 - IncrediMail Ltd.)
Q-Dir (HKLM-x32\...\Q-Dir) (Version:  - )
SAM2 (remove only) (HKLM-x32\...\SAM2) (Version:  - )
Scarytales - Lang lebe Koenig Zulfo 1.00 (HKLM-x32\...\Scarytales - Lang lebe Koenig Zulfo 1.00) (Version: 1.00 - BigFish)
Skype Click to Call (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 7.3.16540.9015 - Microsoft Corporation)
Skype™ 7.3 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 7.3.101 - Skype Technologies S.A.)
TeamViewer 10 (HKLM-x32\...\TeamViewer) (Version: 10.0.36897 - TeamViewer)
Unity Web Player (x64) (All users) (HKLM\...\UnityWebPlayer) (Version: 4.6.3f1 - Unity Technologies ApS)
UseNeXT by Tangysoft (HKLM-x32\...\UseNeXT by Tangysoft_is1) (Version:  - Tangysoft Ltd.)
VLC media player (HKLM\...\VLC media player) (Version: 2.2.0 - VideoLAN)
Weird Park - Unheimliche Märchen 1.0.0.0 (HKLM-x32\...\Weird Park - Unheimliche Märchen 1.0.0.0) (Version: 1.0.0.0 - Shadow - Time to play)
Winamp (HKLM-x32\...\Winamp) (Version: 5.666  - Nullsoft, Inc)
Winamp Erkennungs-Plug-in (HKU\S-1-5-21-1588844970-614624912-4270772625-1001\...\Winamp Detect) (Version: 1.0.0.1 - Nullsoft, Inc)
WinRAR 5.21 (64-Bit) (HKLM\...\WinRAR archiver) (Version: 5.21.0 - win.rar GmbH)

==================== Custom CLSID (selected items): ==========================

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

CustomCLSID: HKU\S-1-5-21-1588844970-614624912-4270772625-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> C:\Windows\system32\igfxEM.exe (Intel Corporation)

==================== Restore Points  =========================

30-04-2015 17:08:52 Geplanter Prüfpunkt

==================== Hosts content: ==========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2013-08-22 15:25 - 2013-08-22 15:25 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)

Task: {16919BE6-25F6-4366-A8B2-C2D39B069477} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-03-24] (Microsoft Corporation)
Task: {72EE9B38-E0F2-4170-A169-5E79288E5B47} - System32\Tasks\Microsoft\Windows\Setup\gwx\runappraiser => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)
Task: {86E31E5F-EF19-4EE3-99C0-E2D8E1CD0399} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxcontent => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)
Task: {8DC6D1E7-2914-42FF-8A99-9365DBAEFFCB} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-03-24] (Microsoft Corporation)
Task: {B3C0DD43-D4D4-4CAB-A9A0-E6B8A27CE999} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-20] (Google Inc.)
Task: {D5CED0FB-2B3D-4C6C-9E56-F3EE774C5F07} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-01-20] (Google Inc.)
Task: {D93FBB9E-D3EE-4E7C-B263-1E1AE08997EE} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\Windows\system32\MRT.exe [2015-04-15] (Microsoft Corporation)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

==================== Loaded Modules (whitelisted) ==============

2015-01-20 12:48 - 2002-08-14 04:33 - 01130496 _____ () C:\mysql\bin\mysqld-nt.exe
2015-01-21 21:19 - 2015-01-21 21:19 - 00183296 _____ () C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.5.9600.20689_x64__8wekyb3d8bbwe\ErrorReporting.dll

==================== Alternate Data Streams (whitelisted) =========

(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)

AlternateDataStreams: C:\Users\Marion\SkyDrive:ms-properties
AlternateDataStreams: C:\Users\Marion\SkyDrive.old:ms-properties

==================== Safe Mode (whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)


==================== EXE Association (whitelisted) ===============

(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)


==================== Internet Explorer trusted/restricted ===============

(If an entry is included in the fixlist, the associated entry will be removed from the registry.)


==================== Other Areas ============================

(Currently there is no automatic fix for this section.)

HKU\S-1-5-21-1588844970-614624912-4270772625-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Marion\AppData\Local\Microsoft\Windows\Themes\RoamedThemeFiles\DesktopBackground\hintergrundbild der windows-fotoanzeige.jpg
DNS Servers: 192.168.178.1

==================== MSCONFIG/TASK MANAGER disabled items ==

(Currently there is no automatic fix for this section.)


==================== FirewallRules (whitelisted) ===============

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

FirewallRules: [vm-monitoring-nb-session] => (Allow) LPort=139
FirewallRules: [TCP Query User{F22345AF-FA54-418E-BB3E-33918DCCE2B7}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe
FirewallRules: [UDP Query User{B2076DCB-D237-478D-AE39-21F84F781967}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe
FirewallRules: [TCP Query User{1F6416AB-A04F-498B-9CA6-D3D0DF1B2DAF}C:\program files (x86)\spacialaudio\sam2\sam2.exe] => (Allow) C:\program files (x86)\spacialaudio\sam2\sam2.exe
FirewallRules: [UDP Query User{B98D8316-B59B-41C8-A96A-28DEC699CC35}C:\program files (x86)\spacialaudio\sam2\sam2.exe] => (Allow) C:\program files (x86)\spacialaudio\sam2\sam2.exe
FirewallRules: [{0ABA6F35-8308-4140-B161-4E979F7BF87A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{C187542A-4C9B-42B3-BA8F-71E893EDB3D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{CFE1B3F8-D2C8-4281-8E8A-2193C21E943A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{5CF7E453-00EE-4017-9971-26E716172F8D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{382A9985-C639-403E-9912-17671015928A}] => (Allow) E:\Winamp\winamp.exe
FirewallRules: [{4A149E8B-2706-4A1F-A106-FFEA5387CAE1}] => (Allow) E:\Winamp\winamp.exe
FirewallRules: [{880944A8-8ABA-4FC1-8BC8-72E847CF07E3}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe
FirewallRules: [{17CB2E52-CE1F-4563-86CA-98BDCE04BB56}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe
FirewallRules: [{1F8B1178-FDF7-4DA2-9DBF-0D912F15CCCF}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe
FirewallRules: [{F92E21B6-44B4-4861-927A-6387D7A6E74A}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe
FirewallRules: [{0D065FBF-72CA-44CF-836C-42EA54498993}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImpCnt.exe
FirewallRules: [{9DF9E4A2-E3CB-4B1C-8253-F7F290910E04}] => (Allow) C:\Program Files (x86)\IncrediMail\Bin\ImpCnt.exe
FirewallRules: [TCP Query User{6F1A7250-7E47-4640-AA6C-623C551FB490}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe
FirewallRules: [UDP Query User{42DD16B2-715A-4BC7-B170-63BBD4B8233F}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe
FirewallRules: [{95B591E7-D5AD-4E29-9F9F-97363BC47EF1}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

==================== Faulty Device Manager Devices =============

Name: PCI-Gerät
Description: PCI-Gerät
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: Der Ereignisfilter mit der Abfrage "select * from __InstanceModificationEvent where targetinstance isa '__ArbitratorConfiguration'" konnte im Namespace "//./root" aufgrund des Fehlers "0x80041033" nicht reaktiviert werden. Solange dieses Problem besteht, können mit diesem Filter keine Ereignisse übermittelt werden.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __NamespaceOperationEvent" zu registrieren, deren Zielklasse "__NamespaceOperationEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __ClassOperationEvent" zu registrieren, deren Zielklasse "__ClassOperationEvent" im Namespace "//./root/CIMV2" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __TimerEvent" zu registrieren, deren Zielklasse "__TimerEvent" im Namespace "//./root/subscription" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __SystemEvent" zu registrieren, deren Zielklasse "__SystemEvent" im Namespace "//./root/subscription" nicht vorhanden ist. Die Abfrage wird ignoriert.

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: Vom Ereignisanbieter "$Core" wurde versucht, die Abfrage "select * from __NamespaceOperationEvent" zu registrieren, deren Zielklasse "__NamespaceOperationEvent" im Namespace "//./root" nicht vorhanden ist. Die Abfrage wird ignoriert.


System errors:
=============
Error: (05/01/2015 03:47:38 PM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (05/01/2015 03:39:12 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: 
%%1115

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Autom. Setup von Geräten, die mit dem Netzwerk verbunden sind" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%1069

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Der Dienst "NcdAutoSetup" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: 
%%50

Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1069

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%1069

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Der Dienst "FDResPub" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: 
%%50

Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Der Dienst "Funktionssuchanbieter-Host" wurde aufgrund folgenden Fehlers nicht gestartet: 
%%1069

Error: (05/01/2015 03:39:10 PM) (Source: Service Control Manager) (EventID: 7038) (User: )
Description: Der Dienst "fdPHost" konnte sich nicht als "NT AUTHORITY\LocalService" mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: 
%%50

Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).

Error: (05/01/2015 03:38:28 PM) (Source: BTHUSB) (EventID: 30) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.


Microsoft Office Sessions:
=========================
Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 10) (User: NT-AUTORITÄT)
Description: //./rootselect * from __InstanceModificationEvent where targetinstance isa '__ArbitratorConfiguration'0x80041033

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __TimerEvent__TimerEvent//./root/CIMV2

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __SystemEvent__SystemEvent//./root/CIMV2

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root/CIMV2

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __ClassOperationEvent__ClassOperationEvent//./root/CIMV2

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __TimerEvent__TimerEvent//./root

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __TimerEvent__TimerEvent//./root/subscription

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __SystemEvent__SystemEvent//./root

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __SystemEvent__SystemEvent//./root/subscription

Error: (05/01/2015 03:34:31 PM) (Source: Microsoft-Windows-WMI) (EventID: 24) (User: NT-AUTORITÄT)
Description: $Coreselect * from __NamespaceOperationEvent__NamespaceOperationEvent//./root


==================== Memory info =========================== 

Processor: Intel(R) Celeron(R) CPU 1037U @ 1.80GHz
Percentage of memory in use: 28%
Total physical RAM: 3795.47 MB
Available physical RAM: 2728.15 MB
Total Pagefile: 4435.47 MB
Available Pagefile: 3396.17 MB
Total Virtual: 131072 MB
Available Virtual: 131071.81 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:50.54 GB) (Free:23.1 GB) NTFS
Drive d: (Daten) (Fixed) (Total:429.69 GB) (Free:395.43 GB) NTFS
Drive e: (Musik) (Fixed) (Total:432.62 GB) (Free:390.24 GB) NTFS
Drive i: (STICK RALF) (Removable) (Total:14.93 GB) (Free:14.51 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 931.5 GB) (Disk ID: ADB518C3)

Partition: GPT Partition Type.

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 14.9 GB) (Disk ID: 35BE4C3C)
Partition 1: (Not Active) - (Size=14.9 GB) - (Type=0C)

==================== End Of Log ============================
         

warum postet das board die frst.txt nicht

hxxp://www.filedropper.com/frst

hast du jetzt alle logs die du brauchst??? bin jetzt kurz afk wegen abendbrot....

Ja, passt.
FRST das nächste mal auf mehrere Postings aufteilen.

Schritt 1

• Download und Anleitung
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 01.05.2015
Suchlauf-Zeit: 18:40:47
Logdatei: log1.txt
Administrator: Ja

Version: 2.01.6.1022
Malware Datenbank: v2015.05.01.05
Rootkit Datenbank: v2015.04.21.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: Marion

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 329169
Verstrichene Zeit: 19 Min, 50 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente gefunden)

Module: 0
(Keine schädliche Elemente gefunden)

Registrierungsschlüssel: 0
(Keine schädliche Elemente gefunden)

Registrierungswerte: 0
(Keine schädliche Elemente gefunden)

Registrierungsdaten: 0
(Keine schädliche Elemente gefunden)

Ordner: 0
(Keine schädliche Elemente gefunden)

Dateien: 1
Trojan.MSIL.Injector, C:\$Recycle.Bin\S-1-5-21-1588844970-614624912-4270772625-1001\$RG9XT50.rar, In Quarantäne, [ec8dddb1ec9eaf877794d81e3ec77888], 

Physische Sektoren: 0
(Keine schädliche Elemente gefunden)


(end)