| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU-TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.05.2012, 22:13
| #1 |
 |  GVU-Trojaner Hallo, gestern haben wir uns ebenfalls den GVU-Trojaner eingefangen. Gerade habe ich schonmal mit OTLPE von CD gebootet und wollte den Scan durchführen, aber er sagt mir sowohl beim vollständigen Scan als auch beim Quickscan irgendwann "out of memory" (hab alles nach der Anleitung von markusg gemacht). Was jetzt? :\ Danke schonmal! Sorry für den Doppelpost, aber ich finde keinen Edit-Button, geht das hier nicht? Auf jeden Fall habe ich OTL nochmal ohne das Script einen Scan durchführen lassen und habe dann folgendes Log erhalten: Code:
ATTFilter OTL logfile created on: 5/5/2012 1:51:43 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Basic Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,014.00 Mb Total Physical Memory | 748.00 Mb Available Physical Memory | 74.00% Memory free
902.00 Mb Paging File | 828.00 Mb Available in Paging File | 92.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 69.65 Gb Total Space | 43.47 Gb Free Space | 62.42% Space Free | Partition Type: NTFS
Drive D: | 1.86 Gb Total Space | 0.21 Gb Free Space | 11.25% Space Free | Partition Type: FAT32
Drive E: | 69.64 Gb Total Space | 64.43 Gb Free Space | 92.52% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - [2012/05/04 14:56:26 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2011/06/30 05:10:49 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/06/06 11:14:42 | 001,524,544 | ---- | M] (TuneUp Software) [Auto] -- C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2011/06/06 11:12:18 | 000,029,504 | ---- | M] (TuneUp Software) [Auto] -- C:\Windows\System32\uxtuneup.dll -- (UxTuneUp)
SRV - [2011/04/27 17:43:06 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008/01/20 22:33:00 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/01/02 20:55:52 | 000,506,416 | ---- | M] (Egis Incorporated) [Auto] -- C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe -- (eDataSecurity Service)
SRV - [2007/12/20 06:32:04 | 000,131,072 | ---- | M] (Acer Inc.) [Auto] -- C:\Acer\Empowering Technology\eNet\eNet Service.exe -- (eNet Service)
SRV - [2007/12/19 13:09:22 | 000,024,576 | ---- | M] () [Auto] -- C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe -- (eSettingsService)
SRV - [2007/11/27 13:54:36 | 000,110,592 | ---- | M] () [Auto] -- C:\Acer\Mobility Center\MobilityService.exe -- (MobilityService)
SRV - [2007/10/03 10:45:02 | 000,358,936 | ---- | M] (Intel Corporation) [Auto] -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2007/10/01 11:42:36 | 000,024,576 | ---- | M] (Acer Inc.) [Auto] -- C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe -- (eLockService)
SRV - [2007/09/20 08:57:28 | 000,167,936 | ---- | M] (acer) [Auto] -- C:\Acer\Empowering Technology\ePower\ePowerSvc.exe -- (WMIService)
SRV - [2007/09/10 10:28:18 | 000,057,344 | ---- | M] (Acer Inc.) [Auto] -- C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe -- (eRecoveryService)
SRV - [2007/09/04 05:14:34 | 000,087,344 | ---- | M] (AVM Berlin) [Auto] -- C:\Program Files\FRITZ!DSL\IGDCTRL.EXE -- (IGDCTRL)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] -- -- (IpInIp)
DRV - [2011/12/04 17:23:51 | 000,121,464 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\AnyDVD.sys -- (AnyDVD)
DRV - [2011/06/30 05:10:59 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/06/30 05:10:58 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/02/10 04:22:58 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand] -- C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2010/06/17 09:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/01/20 22:32:45 | 002,225,664 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\NETw3v32.sys -- (NETw3v32) Intel(R)
DRV - [2007/11/30 10:51:34 | 000,015,392 | ---- | M] (Acer, Inc.) [Kernel | Auto] -- C:\Windows\System32\drivers\int15.sys -- (int15)
DRV - [2007/06/14 13:34:00 | 000,457,856 | ---- | M] (PixArt Imaging Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\PAC7302.SYS -- (PAC7302)
DRV - [2007/05/02 07:52:00 | 000,290,816 | ---- | M] (Texas Instruments) [Kernel | On_Demand] -- C:\Windows\System32\drivers\tifm21.sys -- (tifm21)
DRV - [2006/11/28 20:44:52 | 000,008,192 | ---- | M] (Conexant Systems, Inc.) [Kernel | Auto] -- C:\Windows\System32\drivers\XAudio.sys -- (XAudio)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vb32&d=0111&m=extensa_5220
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://global.acer.com [binary data]
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Roland_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ebay.de/
IE - HKU\Roland_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Roland_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32_11_2_202_233.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: File not found
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/02/03 05:33:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/10/25 05:00:34 | 000,000,000 | ---D | M]
[2011/10/27 04:24:25 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/03/11 10:28:09 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/07/04 15:18:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011/10/27 04:24:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
[2011/10/02 23:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2010/12/03 14:14:08 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/12/03 14:14:08 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010/12/03 14:14:08 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/12/03 14:14:08 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/12/03 14:14:08 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2006/09/18 17:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (ShowBarObj Class) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll (HiTRUST)
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O3 - HKU\Roland_ON_C\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (Egis Incorporated)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation)
O4 - HKLM..\Run: [InstantAccess] C:\Program Files\TextBridge Pro 9.0\Bin\InstantAccess.exe ()
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [PAC7302_Monitor] C:\Windows\PixArt\PAC7302\Monitor.exe (PixArt Imaging Incorporation)
O4 - HKLM..\Run: [RegisterDropHandler] C:\Program Files\TextBridge Pro 9.0\Bin\RegisterDropHandler.exe ()
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [SDU_Path] C:\Users\Roland\AppData\Local\Temp\7zS40C8\HPSDU.exe (Hewlett-Packard)
O4 - HKLM..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe (Acer Incorporated)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\Roland_ON_C..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe (SlySoft, Inc.)
O4 - HKU\Roland_ON_C..\Run: [d31ybB8YFv9cUxg] C:\Users\Roland\AppData\Roaming\itunes_service01.exe ()
O4 - HKLM..\RunServices: [RegisterDropHandler] C:\Program Files\TextBridge Pro 9.0\Bin\RegisterDropHandler.exe ()
O4 - Startup: Error locating startup folders.
O7 - HKU\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\FRITZ!DSL\\sarah.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Program Files\FRITZ!DSL\sarah.dll (AVM Berlin)
O13 - gopher Prefix: missing
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (GMNRev Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKU\Roland_ON_C Winlogon: Shell - (C:\Users\Roland\AppData\Roaming\itunes_service01.exe) - C:\Users\Roland\AppData\Roaming\itunes_service01.exe ()
O20 - HKU\Roland_ON_C Winlogon: UserInit - (C:\Users\Roland\AppData\Roaming\itunes_service01.exe) - C:\Users\Roland\AppData\Roaming\itunes_service01.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2011/06/09 16:01:43 | 017,442,000 | ---- | M] () - E:\Autos.pdf -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2012/05/05 13:30:42 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2012/05/05 00:40:15 | 000,000,000 | ---D | C] -- C:\Temp
[2012/05/03 14:06:50 | 000,000,000 | ---D | C] -- C:\Users\Roland\AppData\Roaming\logs
[2012/05/02 13:56:54 | 000,000,000 | ---D | C] -- C:\Users\Roland\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD
[2012/05/02 13:42:30 | 000,000,000 | ---D | C] -- C:\Users\Roland\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zattoo4
[2012/05/02 13:42:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zattoo4
[2012/05/02 13:42:28 | 000,000,000 | ---D | C] -- C:\Program Files\Zattoo4
[2012/04/29 13:40:11 | 000,419,488 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012/04/20 19:48:42 | 000,000,000 | ---D | C] -- C:\ProgramData\eezwwzmeahebrtj
[2012/04/20 17:40:44 | 000,000,000 | ---D | C] -- C:\ProgramData\zntqhbujvkctidb
[2012/04/11 15:22:21 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012/04/11 15:22:19 | 001,799,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012/04/11 15:22:19 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript.dll
[2012/04/11 15:22:17 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012/04/11 15:22:17 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012/04/11 15:22:17 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012/04/11 15:22:16 | 001,427,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012/04/11 15:21:45 | 003,602,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2012/04/11 15:21:45 | 003,550,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2012/04/10 11:58:47 | 000,000,000 | ---D | C] -- C:\Users\Roland\Desktop\Fotos Auto
[2011/02/01 02:42:09 | 000,049,152 | ---- | C] ( ) -- C:\Windows\Interop.IWshRuntimeLibrary.dll
[2011/01/31 18:25:32 | 000,016,384 | ---- | C] ( ) -- C:\Windows\System32\ClearEvent.exe
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2012/05/04 15:41:39 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/05/04 15:41:16 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012/05/04 15:41:14 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012/05/04 15:40:50 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/05/04 15:40:47 | 1063,706,624 | -HS- | M] () -- C:\hiberfil.sys
[2012/05/04 15:12:44 | 000,001,124 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1659910017-2141967918-756321701-1003UA.job
[2012/05/04 15:02:52 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012/05/04 14:56:25 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012/05/04 14:56:25 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012/05/04 14:49:13 | 000,731,942 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/05/04 14:49:13 | 000,681,764 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/05/04 14:49:13 | 000,169,134 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/05/04 14:49:13 | 000,137,144 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/05/03 14:11:00 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/05/03 14:05:08 | 000,268,800 | ---- | M] () -- C:\Users\Roland\AppData\Roaming\itunes_service01.exe
[2012/05/03 12:59:42 | 000,001,072 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1659910017-2141967918-756321701-1003Core.job
[2012/05/02 13:42:30 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zattoo4
[2012/05/01 22:55:37 | 000,002,052 | ---- | M] () -- C:\Users\Roland\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2012/04/25 03:44:09 | 000,000,680 | ---- | M] () -- C:\Users\Roland\AppData\Local\d3d9caps.dat
[2012/04/20 19:48:40 | 000,000,015 | ---- | M] () -- C:\ProgramData\psulftlrdbanjyqliyhbxdrevyykapgp
[2012/04/20 17:40:43 | 000,000,015 | ---- | M] () -- C:\ProgramData\izadajhawowrigqjztrnmgmgjrxzsnpg
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2012/05/03 14:54:29 | 1063,706,624 | -HS- | C] () -- C:\hiberfil.sys
[2012/05/03 14:05:15 | 000,268,800 | ---- | C] () -- C:\Users\Roland\AppData\Roaming\itunes_service01.exe
[2012/04/29 13:41:01 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012/04/20 19:48:40 | 000,000,015 | ---- | C] () -- C:\ProgramData\psulftlrdbanjyqliyhbxdrevyykapgp
[2012/04/20 18:14:24 | 000,000,680 | ---- | C] () -- C:\Users\Roland\AppData\Local\d3d9caps.dat
[2012/04/20 17:40:43 | 000,000,015 | ---- | C] () -- C:\ProgramData\izadajhawowrigqjztrnmgmgjrxzsnpg
[2011/07/30 12:36:06 | 000,000,179 | ---- | C] () -- C:\Windows\maxlink.ini
[2011/07/30 12:35:53 | 000,011,934 | ---- | C] () -- C:\Windows\System32\Pixpnr.dll
[2011/07/30 12:35:52 | 000,012,126 | ---- | C] () -- C:\Windows\System32\Pixpcz.dll
[2011/07/30 12:35:51 | 000,004,528 | ---- | C] () -- C:\Windows\System32\Setbrows.exe
[2011/07/30 11:55:02 | 000,000,040 | -HS- | C] () -- C:\ProgramData\.zreglib
[2011/07/14 07:39:06 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2011/02/08 12:11:11 | 000,000,291 | ---- | C] () -- C:\Windows\System32\Remover.ini
[2011/02/01 20:26:20 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2011/02/01 20:26:20 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2011/02/01 07:03:26 | 000,009,216 | ---- | C] () -- C:\Users\Roland\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/02/01 05:53:13 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2011/02/01 02:41:33 | 000,910,720 | ---- | C] () -- C:\Windows\System32\igmedkrn.dll
[2011/02/01 02:41:33 | 000,249,856 | ---- | C] () -- C:\Windows\System32\igfxTMM.dll
[2011/02/01 02:41:33 | 000,204,800 | ---- | C] () -- C:\Windows\System32\igfxCoIn_v1318.dll
[2011/01/31 18:26:29 | 000,015,656 | ---- | C] () -- C:\Windows\System32\drivers\int15_64.sys
[2011/01/31 18:25:32 | 000,016,384 | ---- | C] () -- C:\Windows\System32\LauncheRyAgentUser.exe
[2011/01/31 18:24:54 | 000,065,536 | ---- | C] () -- C:\Windows\System32\NATTraversal.dll
[2008/03/28 07:34:59 | 000,001,024 | RH-- | C] () -- C:\Windows\System32\NTIBUN4.dll
[2008/03/28 02:29:06 | 000,731,942 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008/03/28 02:29:06 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008/03/28 02:29:06 | 000,169,134 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008/03/28 02:29:06 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2008/03/28 02:19:38 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2008/03/28 02:19:24 | 000,872,448 | ---- | C] () -- C:\Windows\iconv.dll
[2008/03/28 02:19:24 | 000,743,424 | ---- | C] () -- C:\Windows\libxml2.dll
[2008/03/28 02:19:22 | 000,000,040 | ---- | C] () -- C:\Windows\Prelaunch.ini
[2008/03/27 17:47:09 | 000,001,132 | ---- | C] () -- C:\Windows\RtDefLvl.ini
[2008/03/27 17:47:09 | 000,000,008 | ---- | C] () -- C:\Windows\System32\drivers\RtkHDAud.dat
[2007/03/20 11:44:02 | 000,000,566 | ---- | C] () -- C:\Windows\System32\SP7302.ini
[2006/11/02 08:53:49 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:44:53 | 000,405,888 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 06:33:01 | 000,681,764 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,137,144 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2004/11/22 08:37:38 | 000,040,960 | ---- | C] () -- C:\Windows\98Setup.exe
[2001/12/26 10:12:30 | 000,065,536 | ---- | C] () -- C:\Windows\System32\multiplex_vcd.dll
[2001/09/03 17:46:38 | 000,110,592 | ---- | C] () -- C:\Windows\System32\Hmpg12.dll
[2001/07/30 10:33:56 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC.dll
[2001/07/23 16:04:36 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC_MMX.dll
========== LOP Check ==========
[2011/05/28 15:05:28 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\CheckPoint
[2012/05/02 14:01:44 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\FRITZ!
[2011/02/16 10:57:21 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\GetRightToGo
[2011/04/07 05:30:21 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\Image Zone Express
[2012/05/03 14:06:50 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\logs
[2011/02/01 08:07:49 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\OpenOffice.org
[2011/02/07 13:39:59 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\Printer Info Cache
[2011/02/18 07:38:20 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\RDecke
[2011/03/29 16:28:37 | 000,000,000 | ---D | M] -- C:\Users\Roland\AppData\Roaming\TuneUp Software
[2011/01/31 18:11:56 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2006/11/02 08:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2011/05/28 14:55:08 | 000,000,000 | ---D | M] -- C:\ProgramData\CheckPoint
[2006/11/02 08:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 08:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2011/01/31 18:11:56 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2012/04/20 19:48:45 | 000,000,000 | ---D | M] -- C:\ProgramData\eezwwzmeahebrtj
[2011/01/31 18:11:56 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006/11/02 08:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2011/07/30 11:55:11 | 000,000,000 | ---D | M] -- C:\ProgramData\SlySoft
[2006/11/02 08:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2011/01/31 18:11:56 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2006/11/02 08:59:44 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2011/03/29 16:29:58 | 000,000,000 | ---D | M] -- C:\ProgramData\TuneUp Software
[2011/01/31 18:11:56 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2011/02/01 07:31:32 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2012/04/20 17:40:46 | 000,000,000 | ---D | M] -- C:\ProgramData\zntqhbujvkctidb
[2008/03/27 19:26:05 | 000,000,000 | ---D | M] -- C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2011/03/29 16:26:54 | 000,000,000 | -HSD | M] -- C:\ProgramData\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2012/05/04 15:24:42 | 000,032,598 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
========== Purity Check ==========
< End of report >
Ich konnte ja durch OTL jetzt auf die Dateien zugreifen. Die habe ich dann auf einem USB-Stick gesichert, kann ich die später wieder gefahrlos auf den Laptop spielen? Dankeschön! |
|
06.05.2012, 15:16
| #2 |
| /// Malware-holic   | GVU-Trojaner hi
__________________auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL
O7 - HKU\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O4 - HKU\Roland_ON_C..\Run: [d31ybB8YFv9cUxg] C:\Users\Roland\AppData\Roaming\itunes_service01.exe ()
O20 - HKU\Roland_ON_C Winlogon: Shell - (C:\Users\Roland\AppData\Roaming\itunes_service01.exe) - C:\Users\Roland\AppData\Roaming\itunes_service01.exe ()
O20 - HKU\Roland_ON_C Winlogon: UserInit - (C:\Users\Roland\AppData\Roaming\itunes_service01.exe) - C:\Users\Roland\AppData\Roaming\itunes_service01.exe
()
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte.
__________________ |
|
06.05.2012, 15:52
| #3 |
| | GVU-Trojaner Hallo,
__________________danke, dass du mir hilfst!  Ich habe jetzt soweit alles gemacht, nur lies sich die Fix-Datei nicht laden, ich habe sie also einfach reinkopiert. Ich hoffe, das war okay? Einzeln eintippen ging nicht, weil die Tastatur irgendwie verstellt ist, ich hab da schon am Doppelpunkt gehangen  Der Fix wurde dann ausgeführt und die Meldung, ob ich neu starten möchte, kam. Jetzt zum Verständnis: Sollte der Laptop selber neu starten oder soll ich das machen? Selber neustarten tut er nicht, obwohl ich Ja gedrückt habe. Bei OTL in der Leiste steht unten "processing complete!". Sorry, ich frag lieber einmal zu viel Ok, ich hab den Laptop jetzt manuell neu gestartet und Windows ist normal gestartet, allerdings habe ich keine OTL-Log bekommen. Unter C: finde ich nur das Log, was ich oben gepostet habe. Nochmal ich. Ich hab unter C:/_OTL/moved files das folgende Log gefunden. Meinst du das? Code:
ATTFilter ========== OTL ==========
Registry value HKEY_USERS\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
Registry value HKEY_USERS\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\Roland_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Roland_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\d31ybB8YFv9cUxg deleted successfully.
C:\Users\Roland\AppData\Roaming\itunes_service01.exe moved successfully.
Registry value HKEY_USERS\Roland_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Roland\AppData\Roaming\itunes_service01.exe deleted successfully.
File C:\Users\Roland\AppData\Roaming\itunes_service01.exe not found.
Registry value HKEY_USERS\Roland_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\Roland\AppData\Roaming\itunes_service01.exe deleted successfully.
File C:\Users\Roland\AppData\Roaming\itunes_service01.exe not found.
========== FILES ==========
========== COMMANDS ==========
[EMPTYFLASH]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 75 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Roland
Total Flash Files Cleaned = 0.00 mb
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Roland
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 675840 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 306078131 bytes
Total Files Cleaned = 293.00 mb
OTLPE by OldTimer - Version 3.1.48.0 log created on 05062012_204506
|
|
07.05.2012, 16:37
| #4 | |
| /// Malware-holic | GVU-Trojaner hi Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
07.05.2012, 17:07
| #5 |
| | GVU-Trojaner Ich habe das jetzt runtergeladen, aber irgendwie kann ich nichts auf dem Desktop machen. Also ich sehe keinerlei Icons, Rechtsklick funktioniert nicht und ComboFix sehe ich auch nicht. Ich kann allerdings bspw. Arbeitsplatz öffnen und dann mit dem Explorer links zum Desktop navigieren und da sehe ich dann Combofix, aber halt im Fenster. Kann ich das so auch starten oder funktionierts dann nicht richtig? Geändert von killjoy (07.05.2012 um 17:28 Uhr) |
|
07.05.2012, 20:10
| #6 |
| /// Malware-holic | GVU-Trojaner kannst du. wenn cf durch ist, sollte as mit dem rechtsklick auch wieder gehen
__________________ --> GVU-Trojaner |
|
07.05.2012, 20:12
| #7 |
| | GVU-Trojaner Ok, habs schon gemacht, weil ich gleich den Laptop ausschalten wollte. Das Log: Code:
ATTFilter ComboFix 12-05-07.02 - Roland 08.05.2012 0:31.1.1 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1252.49.1031.18.1014.382 [GMT 2:00]
ausgeführt von:: c:\users\Roland\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE
c:\programdata\izadajhawowrigqjztrnmgmgjrxzsnpg
c:\programdata\psulftlrdbanjyqliyhbxdrevyykapgp
c:\windows\IsUn0407.exe
D:\install.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-04-07 bis 2012-05-07 ))))))))))))))))))))))))))))))
.
.
2012-05-07 23:00 . 2012-05-07 23:01 -------- d-----w- c:\users\Roland\AppData\Local\temp
2012-05-07 00:45 . 2011-07-13 02:55 2237440 ----a-r- C:\OTLPE.exe
2012-05-07 00:45 . 2012-05-07 00:45 -------- d-----w- C:\_OTL
2012-05-05 04:40 . 2012-05-05 04:40 -------- d-----w- C:\Temp
2012-05-04 18:48 . 2012-04-13 07:36 6734704 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{70ED9D2F-990F-499A-B161-3ED41CD4FE86}\mpengine.dll
2012-05-03 18:06 . 2012-05-03 18:06 -------- d-----w- c:\users\Roland\AppData\Roaming\logs
2012-05-02 17:42 . 2012-05-02 17:42 -------- d-----w- c:\program files\Zattoo4
2012-04-29 17:40 . 2012-05-04 18:56 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-04-20 23:48 . 2012-04-20 23:48 -------- d-----w- c:\programdata\eezwwzmeahebrtj
2012-04-20 21:40 . 2012-04-20 21:40 -------- d-----w- c:\programdata\zntqhbujvkctidb
2012-04-11 19:21 . 2012-02-29 15:11 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-11 19:21 . 2012-02-29 15:11 172032 ----a-w- c:\windows\system32\wintrust.dll
2012-04-11 19:21 . 2012-02-29 15:09 157696 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-11 19:21 . 2012-02-29 13:32 12800 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-11 19:21 . 2012-03-06 06:39 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 19:21 . 2012-03-06 06:39 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-11 15:39 . 2012-03-01 11:01 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-04 18:56 . 2011-05-26 18:17 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2011-02-01 01:26 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-14 15:45 . 2012-03-14 19:50 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-02-14 15:45 . 2012-03-14 19:50 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-02-13 14:12 . 2012-03-14 19:50 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-02-13 13:47 . 2012-03-14 19:50 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-02-13 13:44 . 2012-03-14 19:50 1068544 ----a-w- c:\windows\system32\DWrite.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-01-03 01:00 39472 ----a-w- c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-01-31 68856]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2011-12-31 5598840]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-08 4853760]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-28 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-28 137752]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2008-01-22 81920]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-01-03 521776]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-01-07 858632]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2011-02-01 30192]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
.
c:\users\Roland\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
FRITZ!DSL Internet.lnk - c:\program files\FRITZ!DSL\FritzDsl.exe [2007-9-3 992560]
FRITZ!DSL Protect.lnk - c:\program files\FRITZ!DSL\FwebProt.exe [2007-9-7 1070384]
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2008-3-28 535336]
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2011-2-1 29184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-04 257696]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-29 18:56]
.
2012-05-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-01-31 23:06]
.
2012-05-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-01-31 23:06]
.
2012-05-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659910017-2141967918-756321701-1003Core.job
- c:\users\Roland\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-29 08:22]
.
2012-05-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659910017-2141967918-756321701-1003UA.job
- c:\users\Roland\AppData\Local\Google\Update\GoogleUpdate.exe [2011-11-29 08:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vb32&d=0111&m=extensa_5220
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\program files\FRITZ!DSL\\sarah.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Roland\AppData\Roaming\Mozilla\Firefox\Profiles\jo6z01k3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de/
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-d31ybB8YFv9cUxg - c:\users\Roland\AppData\Roaming\itunes_service01.exe
HKLM-Run-RegisterDropHandler - c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-08 01:01
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-05-08 01:05:07
ComboFix-quarantined-files.txt 2012-05-07 23:05
.
Vor Suchlauf: 12 Verzeichnis(se), 46.889.943.040 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 47.239.151.616 Bytes frei
.
- - End Of File - - 95E0535B7ABBFB380F409D8DC77E4459
|
|
08.05.2012, 16:46
| #8 |
| /// Malware-holic | GVU-Trojaner malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.05.2012, 08:54
| #9 |
| | GVU-Trojaner Soo, endlich: Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.09.04 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Roland :: KARIN [Administrator] 09.05.2012 17:28:49 mbam-log-2012-05-09 (17-28-49).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 301228 Laufzeit: 1 Stunde(n), 7 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\LAG3000\RegKey.reg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\LAG3000\db\RegKey.reg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\_OTL\MovedFiles\05062012_204506\C_Users\Roland\AppData\Roaming\itunes_service01.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
|
11.05.2012, 11:52
| #10 |
| /// Malware-holic | GVU-Trojaner lade den CCleaner standard: CCleaner Download - CCleaner 3.18.1707 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
12.05.2012, 10:04
| #11 |
| | GVU-TrojanerCode:
ATTFilter benötigt 2007 Microsoft Office system Microsoft Corporation 27.03.2008 491MB 12.0.6215.1000 unbekannt Acer eDataSecurity Management Egis Inc. 30.01.2011 63,3MB 2.8.4354 unbekannt Acer eLock Management Acer Inc. 30.01.2011 13,3MB 2.5.4302 unbekannt Acer Empowering Technology Acer Inc. 27.03.2008 217MB 2.5.4301 unbekannt Acer eNet Management Acer Inc. 30.01.2011 8,71MB 2.6.4303 unbekannt Acer ePower Management Acer Inc. 30.01.2011 16,1MB 2.5.4310 unbekannt Acer ePresentation Management Acer Inc. 30.01.2011 3,53MB 2.5.4300 unbekannt Acer eSettings Management Acer Inc. 30.01.2011 13,2MB 2.5.4302 unbekannt Acer GridVista 31.01.2011 1,51MB 2.72.317 unbekannt Acer Mobility Center Plug-In Acer Inc. 30.01.2011 4,13MB 1.0.4301 unbekannt Acer ScreenSaver Acer Inc. 26.03.2008 2.11.20071207 unbekannt Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation 30.01.2011 14,0MB benötigt Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 03.05.2012 11.2.202.235 benötigt Adobe Flash Player 11 Plugin Adobe Systems Incorporated 08.05.2012 11.2.202.235 benötigt Adobe Reader 8.3.1 Adobe Systems Incorporated 24.10.2011 90,7MB 8.3.1 benötigt AnyDVD SlySoft 30.12.2011 10,9MB 6.9.1.0 benötigt Avira AntiVir Personal - Free Antivirus Avira GmbH 14.02.2012 104,8MB 10.2.0.707 benötigt AVM FRITZ!Box Dokumentation AVM Berlin 31.01.2011 4,32MB benötigt AVM FRITZ!Box Druckeranschluss AVM Berlin 31.01.2011 benötigt AVM FRITZ!DSL AVM Berlin 30.01.2011 14,1MB 2.04.02 unbekannt Bridge Building Game 07.12.2011 0,90MB benötigt Broadcom Gigabit Integrated Controller Broadcom Corporation 26.03.2008 0,80MB 10.50.08 benötigt Business Contact Manager für Outlook 2007 SP1 Microsoft Corporation 27.03.2008 31,4MB 3.0.6912.0 benötigt CCleaner Piriform 11.05.2012 4,47MB 3.18 benötigt CloneDVD2 Elaborate Bytes 29.07.2011 6,18MB unbekannt Feedback Tool Microsoft Corporation 21.02.2011 2,28MB 1.2.0 unnötig GEONExT 1.73.1 GEONExT Group 29.05.2011 10,7MB 1.73.1 benötigt Google Chrome Google Inc. 28.11.2011 169,1MB 18.0.1025.168 unbekannt Google Desktop Google 31.01.2011 30,2MB 5.9.1005.12335 benötigt Google Earth Google 24.11.2011 92,8MB 6.1.0.5001 unnötig Google Toolbar for Internet Explorer Google Inc. 17.03.2012 17,0MB 7.3.2710.138 unnötig GS Modellauto-Verwaltung Pro 4.0 Demo 23.07.2011 88,1MB unbekannt HDAUDIO Soft Data Fax Modem with SmartCP 31.01.2011 0,71MB unbekannt HP Imaging Device Functions 13.0 HP 12.12.2011 3,36MB 13.0 unbekannt HP Photosmart Essential HP 06.02.2011 10,2MB 1.12.0.46 unbekannt HP Photosmart Essential 3.5 HP 12.12.2011 3,30MB 3.5 unbekannt HP Product Detection Hewlett-Packard Company 06.02.2011 1,90MB 10.7.9.0 unbekannt HP Scanjet G2710 HP 12.12.2011 11,4MB 13.0 unbekannt HP Solution Center 13.0 HP 12.12.2011 1,53MB 13.0 unbekannt HP Update Hewlett-Packard 31.03.2011 3,92MB 5.002.007.004 unbekannt HPSSupply Ihr Firmenname 06.02.2011 0,96MB 2.1.3.0000 benötigt Intel(R) Graphics Media Accelerator Driver 31.01.2011 benötigt Intel(R) Matrix Storage Manager 30.01.2011 3,77MB unbekannt J2SE Runtime Environment 5.0 Update 9 Sun Microsystems, Inc. 11.08.2011 145,6MB 1.5.0.90 benötigt Java(TM) 6 Update 29 Oracle 31.01.2011 97,1MB 6.0.290 unbekannt Launch Manager 31.01.2011 3,24MB benötigt Malwarebytes Anti-Malware Version 1.61.0.1400 Malwarebytes Corporation 08.05.2012 11,7MB 1.61.0.1400 benötigt MediaMonkey 3.2 Ventis Media Inc. 31.01.2011 34,4MB 3.2 unbekannt Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 01.02.2011 38,0MB unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 31.01.2011 27,8MB unbekannt Microsoft .NET Framework 4 Client Profile Microsoft Corporation 31.01.2011 120,3MB 4.0.30319 unbekannt Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 31.01.2011 24,5MB 4.0.30319 unbekannt Microsoft .NET Framework 4 Extended Microsoft Corporation 05.02.2011 38,0MB 4.0.30319 unbekannt Microsoft .NET Framework 4 Extended DEU Language Pack Microsoft Corporation 05.02.2011 7,50MB 4.0.30319 unbekannt Microsoft Office 2003 Web Components Microsoft Corporation 27.03.2008 21,7MB 11.0.8003.0 unbekannt Microsoft Office 2007 Primary Interop Assemblies Microsoft Corporation 27.03.2008 7,23MB 12.0.4518.1014 unbekannt Microsoft Office Small Business Connectivity Components Microsoft Corporation 27.03.2008 0,15MB 2.0.7024.0 unbekannt Microsoft Reader 20.07.2011 1,76MB unbekannt Microsoft Reader Text-to-Speech deutsch Microsoft Corporation 20.07.2011 2,29MB 01.00.0000 unbekannt Microsoft SQL Server 2005 Microsoft Corporation 27.03.2008 42,7MB unbekannt Microsoft SQL Server Native Client Microsoft Corporation 27.03.2008 2,59MB 9.00.2047.00 unbekannt Microsoft SQL Server VSS Writer Microsoft Corporation 27.03.2008 0,68MB 9.00.2047.00 unbekannt Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 30.01.2011 0,41MB 8.0.56336 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 31.01.2011 0,58MB 9.0.30729.4148 benötigt Mozilla Firefox (3.6.13) Mozilla 02.02.2011 27,7MB 3.6.13 (de) unbekannt MSXML 4.0 SP2 (KB927978) Microsoft Corporation 07.02.2011 34,00KB 4.20.9841.0 unbekannt MSXML 4.0 SP2 (KB954430) Microsoft Corporation 07.02.2011 1,28MB 4.20.9870.0 unbekannt MSXML 4.0 SP2 (KB973688) Microsoft Corporation 10.02.2011 1,34MB 4.20.9876.0 unbekannt NTI Backup NOW! 4.7 NewTech Infosystems 27.03.2008 7,23MB 1.00.0000 unbekannt NTI CD & DVD-Maker NewTech Infosystems 27.03.2008 40,1MB 7 unbekannt NTI Shadow NewTech Infosystems 27.03.2008 7,34MB 3.7.6.37 unbekannt OCR Software by I.R.I.S. 13.0 HP 12.12.2011 1,53MB 13.0 benötigt OpenOffice.org 3.3 OpenOffice.org 31.01.2011 413MB 3.3.9567 unbekannt PAC7302 Ihr Firmenname 07.02.2011 0,16MB 1.0.06 benötigt PowerDVD CyberLink Corporation 31.01.2011 58,8MB 7.32.3730a.0 benötigt Realtek High Definition Audio Driver Realtek Semiconductor Corp. 26.03.2008 16,0MB 6.0.1.5543 unbekannt Synaptics Pointing Device Driver Synaptics 26.03.2008 13,6MB 10.0.15.0 unbekannt TaylorCom Software 3000 TaylorCom 23.07.2011 3000 unbekannt Texas Instruments PCIxx21/x515/xx12 drivers. Texas Instruments Inc. 26.03.2008 0,94MB 2.00.0002 unbekannt TextBridge Pro 9.0 29.07.2011 34,9MB unbekannt TuneUp Utilities 2011 TuneUp Software 18.06.2011 64,3MB 10.0.4200.95 unbekannt Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) Microsoft Corporation 27.03.2008 23,2MB 9.00.2047.00 unbekannt VirtualDJ Home FREE Atomix Productions 23.12.2011 48,4MB 7.0.5 Ich habe die ganzen Programmen von Acer, HP und Microsoft als unbekannt beschrieben, weil ich nicht genau weiß, was genau die machen. |
|
12.05.2012, 16:38
| #12 |
| /// Malware-holic | GVU-Trojaner deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Bridge Building Game GEONExT Google Desktop Google Toolbar GS Modellauto J2SE Java Download der kostenlosen Java-Software downloade java jre, instalieren. deinstaliere: Microsoft Office : falls du das nicht nutzt, alle weg Mozilla Firefox : öffnen hilfe, update, version 12 drauf. deinstaliere: NTI alle TuneUp VirtualDJ hört deine liste bei v auf? öffne CCleaner analysieren CCleaner starten, pc neustarten, testen wie er läuft.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
13.05.2012, 11:11
| #13 |
| | GVU-Trojaner Ja, das war die ganze Liste. Ich hab jetzt soweit alles erledigt, allerdings finde ich, dass der Laptop recht lange braucht bis er nach dem Hochfahren startklar ist, zumindest wenn ich ihn mit meinem vergleiche (ca. 3-4 min.) Ist das noch im Bereich des Guten? Gestern habe ich schon ziemlich viele Programme aus dem Autostart genommen, aber bei zweien weiß ich nicht genau, was ich da anklicken muss. Einmal öffnet der Standardbrowser bei jedem Start (bis gestern wars der IE, dann hab ich das mal auf den FF umgestellt, um zu sehen, obs am IE liegt oder halt am Standardbrowser). Jedenfalls finde ich im Autostart keinen Eintrag der Firefox oder Mozilla oder so heißt. Und das zweite wäre das FRITZ!DSL Startcenter, muss das im Autostart bleiben? Ich hab dir mal Bilder vom Autostart angehangen, vielleicht kannst du mir sagen, was da noch raus kann? Gestern habe ich dann hier auch noch Secunia PSI istalliert, weil ich das ganz nützlich finde, und das hat den FF jetzt zwar geupdatet, aber natürlich auf Englisch. Kann man da irgendwo einstellen, dass der das deutsche installiert? Ich finds auf Dauer ziemlich nervig :\ Antivir hab ich dann auch nochmal neu installiert, weil er mir dauernd gesagt hat, dass er nicht auf dem neuesten Stand wäre, obwohl Updates automatisch installieren eingeschaltet war. Das hatte dann gestern noch was gefunden (ich weiß leider nicht mehr genau was), als der CCleaner lief, also habe ich Antivir durchlaufen lassen und wollte dir das Log heute zeigen, allerdings ist das nicht mehr da  Unter den Berichten in Antivir wird dazu zwar ein Eintrag angezeigt, aber öffnen geht nicht. Naja, ich hab Antivir dann gerade nochmal durchlaufen lassen und er hat "nur" Warnungen gemeldet. Hier mal das Log:Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 13. Mai 2012 10:37
Es wird nach 3689413 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Basic
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KARIN
Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 01.05.2012 22:48:48
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 12.05.2012 22:59:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 22:59:40
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 22:59:40
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 22:59:40
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 22:59:40
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 22:59:40
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 22:59:41
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 22:59:41
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 22:59:41
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 22:59:41
VBASE014.VDF : 7.11.29.145 2048 Bytes 10.05.2012 22:59:41
VBASE015.VDF : 7.11.29.146 2048 Bytes 10.05.2012 22:59:41
VBASE016.VDF : 7.11.29.147 2048 Bytes 10.05.2012 22:59:41
VBASE017.VDF : 7.11.29.148 2048 Bytes 10.05.2012 22:59:41
VBASE018.VDF : 7.11.29.149 2048 Bytes 10.05.2012 22:59:41
VBASE019.VDF : 7.11.29.150 2048 Bytes 10.05.2012 22:59:41
VBASE020.VDF : 7.11.29.151 2048 Bytes 10.05.2012 22:59:41
VBASE021.VDF : 7.11.29.152 2048 Bytes 10.05.2012 22:59:41
VBASE022.VDF : 7.11.29.153 2048 Bytes 10.05.2012 22:59:41
VBASE023.VDF : 7.11.29.154 2048 Bytes 10.05.2012 22:59:41
VBASE024.VDF : 7.11.29.155 2048 Bytes 10.05.2012 22:59:41
VBASE025.VDF : 7.11.29.156 2048 Bytes 10.05.2012 22:59:41
VBASE026.VDF : 7.11.29.157 2048 Bytes 10.05.2012 22:59:42
VBASE027.VDF : 7.11.29.158 2048 Bytes 10.05.2012 22:59:42
VBASE028.VDF : 7.11.29.159 2048 Bytes 10.05.2012 22:59:42
VBASE029.VDF : 7.11.29.160 2048 Bytes 10.05.2012 22:59:42
VBASE030.VDF : 7.11.29.161 2048 Bytes 10.05.2012 22:59:42
VBASE031.VDF : 7.11.29.206 102912 Bytes 11.05.2012 22:59:42
Engineversion : 8.2.10.64
AEVDF.DLL : 8.1.2.2 106868 Bytes 06.02.2012 23:31:09
AESCRIPT.DLL : 8.1.4.19 455034 Bytes 12.05.2012 22:59:47
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.5 606579 Bytes 26.04.2012 16:41:32
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.2.16.13 807287 Bytes 12.05.2012 22:59:47
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 16:41:32
AEHEUR.DLL : 8.1.4.25 4788598 Bytes 12.05.2012 22:59:46
AEHELP.DLL : 8.1.21.0 254326 Bytes 12.05.2012 22:59:43
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 16:41:31
AEEXP.DLL : 8.1.0.36 82292 Bytes 12.05.2012 22:59:47
AEEMU.DLL : 8.1.3.0 393589 Bytes 20.01.2012 23:21:29
AECORE.DLL : 8.1.25.6 201078 Bytes 26.04.2012 16:41:31
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 01.05.2012 22:51:35
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 02.05.2012 00:03:51
RCTEXT.DLL : 12.3.0.15 98512 Bytes 02.05.2012 00:03:51
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Sonntag, 13. Mai 2012 10:37
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstantAccess.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'sua.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIA.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
Die Registry wurde durchsucht ( '1524' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Acer>
C:\$RECYCLE.BIN\S-1-5-21-1659910017-2141967918-756321701-1003\$R4WEXBT.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\$RECYCLE.BIN\S-1-5-21-1659910017-2141967918-756321701-1003\$RB9879R.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\$RECYCLE.BIN\S-1-5-21-1659910017-2141967918-756321701-1003\$RTMDXMT.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\$RECYCLE.BIN\S-1-5-21-1659910017-2141967918-756321701-1003\$RVG4JF6.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\$RECYCLE.BIN\S-1-5-21-1659910017-2141967918-756321701-1003\$RZ939WQ.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Users\Roland\Documents\Downloads\mein_hpl_2009.zip
[WARNUNG] Unerwartetes Dateiende erreicht
Beginne mit der Suche in 'D:\' <DATA>
Ende des Suchlaufs: Sonntag, 13. Mai 2012 12:03
Benötigte Zeit: 1:25:38 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
20342 Verzeichnisse wurden überprüft
581319 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
581319 Dateien ohne Befall
7497 Archive wurden durchsucht
10 Warnungen
0 Hinweise
492060 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Abgesehen vom Hochfahren läuft der Laptop aber wieder ganz gut. |
|
13.05.2012, 19:57
| #14 |
| /// Malware-holic | GVU-Trojaner hi, evtl. stehts unter avira, ereignisse? die frage mit dem browser hab ich nicht ganz verstanden, du willst das der automatisch gestartet wird? öffne mal den ccleaner, und poste mir die autostart liste.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
14.05.2012, 09:57
| #15 |
| | GVU-Trojaner Sorry, das war ein bisschen wirr ausgedrückt. Also bei jedem Systemstart öffnet sich der Standardbrowser und das dauert dann halt ewig. Das wollte ich dann ausschalten (via Ausführen - msconfig), aber dort finde ich keinen Eintrag, der dazu passt Das Log von Antivir finde ich weder unter Berichte noch unter Ereignisse. Dort steht zwar ein Eintrag zu dem Log, aber aufrufen kann ich es auch nicht. Wenn ich auf den Eintrag klicke, öffnet sich ein kleines Fenster, in dem steht, dass nur drei Warnungen gefunden wurden (ich hoffe, das ist verständlich  )Die Autostart-Liste vom CCleaner: Code:
ATTFilter Nein HKCU:Run AnyDVD C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
Nein HKCU:Run swg "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
Nein HKLM:Run Adobe ARM "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Nein HKLM:Run Adobe Reader Speed Launcher "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
Ja HKLM:Run avgnt "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
Nein HKLM:Run eDataSecurity Loader C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
Ja HKLM:Run HotKeysCmds C:\Windows\system32\hkcmd.exe
Nein HKLM:Run hpqSRMon C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
Ja HKLM:Run IAAnotif "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
Ja HKLM:Run IgfxTray C:\Windows\system32\igfxtray.exe
Ja HKLM:Run InstantAccess C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
Nein HKLM:Run LanguageShortcut "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
Ja HKLM:Run LManager C:\PROGRA~1\LAUNCH~1\LManager.exe
Ja HKLM:Run PAC7302_Monitor C:\Windows\PixArt\PAC7302\Monitor.exe
Ja HKLM:Run Persistence C:\Windows\system32\igfxpers.exe
Nein HKLM:Run RemoteControl "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
Ja HKLM:Run RtHDVCpl RtHDVCpl.exe
Nein HKLM:Run SunJavaUpdateSched "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
Ja HKLM:Run SynTPStart C:\Program Files\Synaptics\SynTP\SynTPStart.exe
Ja HKLM:Run WarReg_PopUp C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
Nein Startup Common Empowering Technology Launcher.lnk C:\Acer\EMPOWE~1\EAPLAU~1.EXE 9999
Ja Startup Common FRITZ!DSL Startcenter.lnk C:\Windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe
Nein Startup Common Secunia PSI Tray.lnk C:\PROGRA~1\Secunia\PSI\psi_tray.exe
Ja Startup User FRITZ!DSL Internet.lnk C:\Program Files\FRITZ!DSL\FritzDsl.exe
Ja Startup User FRITZ!DSL Protect.lnk C:\Program Files\FRITZ!DSL\FwebProt.exe
Nein Startup User OpenOffice.org 3.3.lnk C:\PROGRA~1\OPENOF~1.ORG\program\QUICKS~1.EXE
|
|
| Themen zu GVU-Trojaner |
| anleitung, disabletaskmgr, durchführen, ebenfalls, google earth, gvu-trojaner, launch, leitung, markusg, memory, monitor.exe, otlpe, plug-in, scan, schonmal, spielen, vollständige |
Linear-Darstellung
