Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GVU Trojaner & Konsequenzen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.08.2012, 18:31   #1
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Hallo zusammen,

habe mir heute morgen durch den Link eines Bekannten oben genannte Ransomware eingefangen und seitdem versucht alles wieder ins Lot zu bringen. Leider habe ich in meiner geistigen Umnachtung zu spät an dieses Board gedacht und meine bisherige Fehlerbehandlung nach bestem Grundwissen vollzogen. Das heißt konkret:

1) Abgesicherter Modus -> Process Explorer & Autoruns -> verdächtige Datei mit passendem Erstelldatum, nämlich eine abby0.exe gefunden und gelöscht.

2) Malwarebytes & Security Essentials mit neuesten Definitionen über das Systemlaufwerk vollständig laufen lassen. Nur Malwarebytes hat etwas gefunden, nämlich einen Trojan.Ransom.Gen in der Datei ctfmon.Ink -> Quarantäne.

Nun funktioniert soweit wieder alles, keine verdächtigen Prozesse mehr am Laufen und keine äußeren Konsequenzen erkennbar. Dennoch wollte ich mich nochmal an euch wenden und habe der Anleitung in diesem Thread entsprechend OTL laufen lassen. Die beiden Logs befinden sich im Anhang.

Ist etwas über einen Keylogger bekannt? Systempasswort werde ich sowieso wechseln, nachdem ich aber zur Zeit der Infektion meine KeePassSuite offen hatte, habe ich etwas Bedenken alles ändern zu müssen.

Vielen Dank,
sim.

OTL.txt war fürs Anhängen zu groß, daher auf pastebin:
hxxp://pastebin.com/eBgZLD2a

Wenn ihr das anders wollt, schreibt es

Geändert von simplizist (06.08.2012 um 19:19 Uhr)

Alt 07.08.2012, 14:56   #2
t'john
/// Helfer-Team
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen





Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL

SRV - (Intel(R) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe () 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - user.js - File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_270.dll File not found 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 
O4 - HKCU..\Run: [AdobeBridge] File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2010.10.04 22:48:07 | 000,000,000 | ---- | M] () - F:\AUTOEXEC.BAT -- [ NTFS ] 
O33 - MountPoints2\{1f2437d0-9d46-11e1-b74f-bc5ff4375054}\Shell - "" = AutoRun 
O33 - MountPoints2\{1f2437d0-9d46-11e1-b74f-bc5ff4375054}\Shell\AutoRun\command - "" = I:\Autorun.exe 

 
[2012.08.06 17:37:05 | 004,503,728 | ---- | M] () -- C:\ProgramData\rat_0ybba.pad 
 

[2012.08.06 16:59:35 | 000,000,830 | ---- | M] () -- C:\Windows\tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job 
[2012.08.06 16:59:35 | 000,000,828 | ---- | M] () -- C:\Windows\tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________

__________________

Alt 07.08.2012, 15:58   #3
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Hallo t'john,

vielen Dank für deine rasche Hilfe. Habe deine Instruktionen befolgt, hoffe, dass alles glatt gegangen ist. Die "rat_0ybba.pad" Datei klingt verdächtig nach der schädlichen Exe der Ransomware. Was war das?

Code:
ATTFilter
All processes killed
========== OTL ==========
Error: No service named Intel(R was found to stop!
Service\Driver key Intel(R not found.
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe moved successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
F:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f2437d0-9d46-11e1-b74f-bc5ff4375054}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1f2437d0-9d46-11e1-b74f-bc5ff4375054}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f2437d0-9d46-11e1-b74f-bc5ff4375054}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1f2437d0-9d46-11e1-b74f-bc5ff4375054}\ not found.
File I:\Autorun.exe not found.
C:\ProgramData\rat_0ybba.pad moved successfully.
C:\Windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job moved successfully.
C:\Windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Felix\Desktop\cmd.bat deleted successfully.
C:\Users\Felix\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56478 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Felix
->Temp folder emptied: 4838147 bytes
->Temporary Internet Files folder emptied: 1589481 bytes
->Java cache emptied: 1135978 bytes
->FireFox cache emptied: 263517964 bytes
->Flash cache emptied: 58954 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 525162 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67698 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 259,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Felix
->Flash cache emptied: 0 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08072012_165239

Files\Folders moved on Reboot...
C:\Users\Felix\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\TMP000146D4A5E400F22B967D84 not found!
File\Folder C:\Windows\temp\TMP000146D7D446A0F97A4637FF not found!

PendingFileRenameOperations files...
File C:\Users\Felix\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
File C:\Windows\temp\TMP000146D4A5E400F22B967D84 not found!
File C:\Windows\temp\TMP000146D7D446A0F97A4637FF not found!

Registry entries deleted on Reboot...
         
Danke!
sim.
__________________

Alt 07.08.2012, 16:16   #4
t'john
/// Helfer-Team
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Sehr gut!

Ein Teil des Trojaners war das.

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 08.08.2012, 13:24   #5
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Sieht gut aus. Malwarebytes hat nichts gefunden.

AdwCleaner:
Code:
ATTFilter
# AdwCleaner v1.800 - Logfile created 08/08/2012 at 14:21:16
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (64 bits)
# User : Felix - FELIX-PC
# Running from : C:\Users\Felix\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****

[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : Main 
File : C:\Users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\azdmtgel.default\prefs.js

[OK] File is clean.

Profile name : Backup [Profil par défaut]
File : C:\Users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\7cdv9k4r.Backup\prefs.js

Found : user_pref("greasemonkey.scriptvals.hxxp://jonls.dk/What.CD Snatched.snatch_cache", "({groups:{720106[...]

*************************

AdwCleaner[R1].txt - [1040 octets] - [08/08/2012 14:21:16]

########## EOF - C:\AdwCleaner[R1].txt - [1168 octets] ##########
         
Vielen Dank,
sim.


Alt 08.08.2012, 14:50   #6
t'john
/// Helfer-Team
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Sehr gut!


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
--> GVU Trojaner & Konsequenzen

Alt 09.08.2012, 00:38   #7
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Okay, next round.

Code:
ATTFilter
# AdwCleaner v1.800 - Logfile created 08/08/2012 at 17:11:37
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (64 bits)
# User : Felix - FELIX-PC
# Running from : C:\Users\Felix\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****

[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : Main 
File : C:\Users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\azdmtgel.default\prefs.js

[OK] File is clean.

Profile name : Backup [Profil par défaut]
File : C:\Users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\7cdv9k4r.Backup\prefs.js

C:\Users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\7cdv9k4r.Backup\user.js ... Deleted !

Deleted : user_pref("greasemonkey.scriptvals.hxxp://jonls.dk/What.CD Snatched.snatch_cache", "({groups:{720106[...]

*************************

AdwCleaner[R1].txt - [1167 octets] - [08/08/2012 14:21:16]
AdwCleaner[S1].txt - [1201 octets] - [08/08/2012 17:11:37]

########## EOF - C:\AdwCleaner[S1].txt - [1329 octets] ##########
         
Habe aus Versehen den Emsisoft Log weggeklickt, war aber ohne verdächtige Resultate.

Vielen Dank,
sim.

Alt 09.08.2012, 07:33   #8
t'john
/// Helfer-Team
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



In der Anleitung steht, wie du die Logs findest ;

Bitte posten!
__________________
Mfg, t'john
Das TB unterstützen

Alt 09.08.2012, 15:46   #9
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Ohja, stimmt ja. Bitteschön.

Vielen Dank,
sim.

Alt 09.08.2012, 17:13   #10
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Habe grade euren Sticky bezüglich Cracks, Keygens etc. gelesen. Mir ist bewusst, dass diese in der Logdatei als schädlich angezeigt werden, habe sie auch entfernen lassen, auch wenn ich ausreichend PC Erfahrung besitze, hoffe ich zumindest, um die tatsächlich ausgehende Gefahr jeder einzelnen Datei individuell einschätzen zu können. Ich würde mich über eine fortgesetzte Hilfe freuen und Dich, t'john, bitten den von mir angehängten Log wg. Regelbruch zu entfernen.

Wegen der Moral: Ich besitze genügend Spiele etc. selber, und bin mir der moralischen Implikationen des Filesharings bewusst. Die Debatte hier ist eine grundsätzliche und ich hoffe mir wird geglaubt, wenn ich sage, dass ich keinesfalls *nur* stehle, da ich wie zu Beginn erwähnt genügend Geld für legale Software ausgebe.

Vielen Dank,
sim.

Alt 09.08.2012, 17:17   #11
t'john
/// Helfer-Team
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Sehr gut!

Schoen, dass du die Regeln mal gelesen hast.


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
Mfg, t'john
Das TB unterstützen

Alt 10.08.2012, 13:44   #12
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3eca169be099da48bfbae11f11965db1
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-09 05:32:07
# local_time=2012-08-09 07:32:07 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 54210973 96159423 0 0
# compatibility_mode=8192 67108863 100 0 86 86 0 0
# scanned=174850
# found=4
# cleaned=4
# scan_time=3954
E:\!Neuinstallation\!BIOS\Bios_Komplett.rar	a variant of Win32/Packed.FlyStudio application (deleted - quarantined)	00000000000000000000000000000000	C
E:\!Neuinstallation\!BIOS\Bios_Komplett\Universal_BIOS_Backup_ToolKit\Universal_BIOS_Backup_ToolKit_2.0.rar	a variant of Win32/Packed.FlyStudio application (deleted - quarantined)	00000000000000000000000000000000	C
E:\!Neuinstallation\!Programme\System\unlocker1.9.0.exe	Win32/Adware.ADON application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
E:\DL - boerse\LEGO.Star.Wars.III.The.Clone.Wars-SKIDROW-PLZ\sr-lsw3c.iso	a variant of Win32/Packed.VMProtect.AAA trojan (deleted - quarantined)	00000000000000000000000000000000	C
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3eca169be099da48bfbae11f11965db1
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-10 06:17:18
# local_time=2012-08-10 08:17:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 54250595 96199045 0 0
# compatibility_mode=8192 67108863 100 0 39708 39708 0 0
# scanned=317698
# found=12
# cleaned=12
# scan_time=10242
E:\DL2\Office 2010 Activator v1.4.1.0\Office 2010 Activator v1.4.1.0 64-Bit-OS.exe	a variant of Win32/HackKMS.A application (deleted - quarantined)	00000000000000000000000000000000	C
E:\Dropbox\Public\Shank.rar	a variant of Win32/Packed.VMProtect.AAD trojan (deleted - quarantined)	00000000000000000000000000000000	C
F:\!Neuinstallation\!BIOS\Bios_Komplett.rar	a variant of Win32/Packed.FlyStudio application (deleted - quarantined)	00000000000000000000000000000000	C
F:\!Neuinstallation\!BIOS\Bios_Komplett\Universal_BIOS_Backup_ToolKit\Universal_BIOS_Backup_ToolKit_2.0.rar	a variant of Win32/Packed.FlyStudio application (deleted - quarantined)	00000000000000000000000000000000	C
F:\!Neuinstallation\!Programme\System\unlocker1.9.0.exe	Win32/Adware.ADON application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
F:\Active\Apps\CoreCodec.CoreAVC.Professional.Edition.v2.0.0.0.Incl.Keygen-HERiTAGE\htgc1420.zip	probably a variant of Win32/Agent.IWQEPAO trojan (deleted - quarantined)	00000000000000000000000000000000	C
F:\Active\Apps\mIRC.v6.35.Incl.KeyGen.and.Server.Patch-F4CG\f4cg.rar	probably a variant of Win32/Agent.HGSAQMS trojan (deleted - quarantined)	00000000000000000000000000000000	C
F:\Active\Spiele\PC\Assassins.Creed.II-SKIDROW\sr-acii.iso	a variant of Win32/Packed.VMProtect.AAA trojan (deleted)	00000000000000000000000000000000	C
F:\Active\Spiele\PC\Shank.PROPER-RELOADED\rld-shnk.iso	a variant of Win32/Packed.VMProtect.AAD trojan (deleted)	00000000000000000000000000000000	C
F:\Windows\Microsoft.Office.2010.Professional.Plus.GERMAN.x86.x64.FRiENDS.ONLY-BIE\bieof10g.iso	a variant of Win32/HackKMS.A application (deleted)	00000000000000000000000000000000	C
F:\Windows\Microsoft.Office.2010.Professional.Plus.GERMAN.x86.x64.FRiENDS.ONLY-BIE\bie_o10install64.exe	a variant of Win32/HackKMS.A application (deleted - quarantined)	00000000000000000000000000000000	C
G:\Dropbox\Public\Shank.rar	a variant of Win32/Packed.VMProtect.AAD trojan (deleted - quarantined)	00000000000000000000000000000000	C
         
Vielen Dank,
sim.

Alt 10.08.2012, 14:59   #13
t'john
/// Helfer-Team
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
  • Windows XP (nur 32-bit)
  • Windows Vista (32-bit/64-bit)
  • Windows 7 (32-bit/64-bit)


Vorbereitung und wichtige Hinweise

  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
  • Liste der zu deaktivierenden Programme.
    Bei Unklarheiten bitte fragen.


  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.


  • Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
  • Während des Laufs von Combofix nichts anderes am Computer machen!
  • Akzeptiere die Bedingungen (Disclaimer) mit "Ja".


  • Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
  • Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
  • Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
  • Bitte nicht in dieses Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es wird ein Backup Deiner Registry erstellt.
  • Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.


  • Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
  • Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
  • Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.


  • Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
  • Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.



Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!
__________________
Mfg, t'john
Das TB unterstützen

Alt 10.08.2012, 17:51   #14
simplizist
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Puh, dank der Anleitung hab ich auch wieder Internet

Combofix.txt:
Code:
ATTFilter
ComboFix 12-08-09.01 - Felix 10.08.2012  17:45:20.1.4 - x64
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.8085.5119 [GMT 2:00]
ausgeführt von:: c:\users\Felix\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Felix\AppData\Local\assembly\tmp
c:\windows\SysWow64\Packet.dll
c:\windows\SysWow64\pthreadVC.dll
c:\windows\SysWow64\wpcap.dll
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_NPF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-10 bis 2012-08-10  ))))))))))))))))))))))))))))))
.
.
2012-08-10 16:04 . 2012-08-10 16:04	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-08-09 15:24 . 2012-06-29 10:04	9133488	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{7B7F7940-F775-48FD-BCAE-2620E01FEDC0}\mpengine.dll
2012-08-08 15:01 . 2012-08-09 16:20	--------	d-----w-	c:\program files (x86)\Emsisoft Anti-Malware
2012-08-08 12:08 . 2012-06-29 10:04	9133488	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-08-07 14:52 . 2012-08-07 14:52	--------	d-----w-	C:\_OTL
2012-08-07 14:51 . 2012-08-07 14:51	--------	d-----w-	c:\programdata\Gibraltar
2012-08-07 14:11 . 2012-08-10 15:53	--------	d-----w-	c:\users\Felix\AppData\Local\assembly
2012-08-07 04:10 . 2012-05-13 22:06	927800	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2012-08-07 04:10 . 2012-05-13 22:06	927800	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{26CB28C0-48F2-45A4-960F-9D0003ACF955}\gapaengine.dll
2012-08-06 15:33 . 2012-08-06 15:33	--------	d-----w-	c:\users\Felix\AppData\Roaming\Malwarebytes
2012-08-06 15:33 . 2012-08-06 15:33	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-08-06 15:33 . 2012-08-06 15:33	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-06 15:33 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-04 19:50 . 2012-08-04 19:51	--------	d-----w-	c:\users\Felix\AppData\Roaming\Audacity
2012-08-04 19:50 . 2012-08-04 19:50	--------	d-----w-	c:\program files (x86)\Audacity
2012-08-02 14:44 . 2012-08-02 14:44	--------	d-----w-	c:\windows\system32\oodag
2012-08-02 14:42 . 2012-08-02 14:42	--------	d-----w-	c:\users\Felix\AppData\Local\O&O
2012-08-02 14:42 . 2012-08-02 14:42	--------	d-----w-	c:\program files\OO Software
2012-08-02 14:41 . 2012-08-02 14:44	--------	d-----w-	c:\users\Felix\AppData\Local\Downloaded Installations
2012-08-02 14:25 . 2012-08-02 14:25	178800	----a-w-	c:\windows\SysWow64\CmdLineExt_x64.dll
2012-08-01 23:56 . 2012-05-30 11:42	569152	----a-w-	c:\windows\system32\drivers\iaStor.sys
2012-08-01 23:51 . 2012-08-01 23:51	--------	d-----w-	c:\program files\Speccy
2012-08-01 23:49 . 2012-08-01 23:49	--------	d-----w-	c:\program files (x86)\HD Tune
2012-08-01 23:09 . 2012-08-09 21:54	--------	d-----w-	c:\users\Felix\AppData\Local\LogMeIn Hamachi
2012-08-01 23:09 . 2012-08-01 23:09	--------	d-----w-	c:\program files (x86)\LogMeIn Hamachi
2012-08-01 21:11 . 2012-08-01 21:11	--------	d-----w-	c:\users\Felix\AppData\Local\LogiShrd
2012-07-26 01:07 . 2012-07-26 01:07	--------	d-----r-	C:\Sandbox
2012-07-26 00:04 . 2012-07-26 00:04	--------	d-----w-	c:\program files\Sandboxie
2012-07-22 14:35 . 2012-07-22 14:35	--------	d-----w-	c:\windows\AutoKMS
2012-07-22 14:28 . 2012-07-25 19:04	--------	d-----w-	c:\program files (x86)\JDownloader
2012-07-21 15:17 . 2012-07-21 15:17	268720	----a-w-	c:\windows\system32\javaws.exe
2012-07-21 15:17 . 2012-07-21 15:17	189360	----a-w-	c:\windows\system32\javaw.exe
2012-07-21 15:17 . 2012-07-21 15:17	188840	----a-w-	c:\windows\system32\java.exe
2012-07-21 15:00 . 2012-08-01 23:41	--------	d-----w-	c:\program files\CCleaner
2012-07-21 07:11 . 2012-07-21 07:11	71680	----a-w-	c:\windows\system32\frapsv64.dll
2012-07-21 07:11 . 2012-07-21 07:11	65536	----a-w-	c:\windows\SysWow64\frapsvid.dll
2012-07-20 17:00 . 2012-07-20 17:00	--------	d--h--w-	c:\programdata\CanonIJScan
2012-07-20 17:00 . 2012-07-20 17:00	--------	d-----w-	c:\users\Felix\AppData\Roaming\Canon
2012-07-20 16:53 . 2012-07-20 16:53	--------	d-----w-	c:\programdata\Canon IJ Network Tool
2012-07-20 16:53 . 2010-03-18 17:25	307200	----a-w-	c:\windows\SysWow64\CNC5200L.dll
2012-07-20 16:53 . 2010-03-18 15:11	106496	----a-w-	c:\windows\SysWow64\CNC5200U.dll
2012-07-20 16:53 . 2008-08-25 16:02	15872	----a-w-	c:\windows\SysWow64\CNHMCA.dll
2012-07-20 16:53 . 2012-07-20 16:53	--------	d-----w-	c:\windows\system32\STRING
2012-07-20 16:53 . 2010-02-05 08:37	37376	----a-w-	c:\windows\system32\CNMN6UI.DLL
2012-07-20 16:53 . 2010-02-05 08:37	327680	----a-w-	c:\windows\system32\CNMN6PPM.DLL
2012-07-20 16:53 . 2010-02-05 08:37	340992	----a-w-	c:\windows\SysWow64\CNMNPPM.DLL
2012-07-20 16:53 . 2012-07-20 16:53	--------	d--h--w-	c:\program files\CanonBJ
2012-07-20 13:27 . 2012-07-20 13:27	--------	d-----w-	c:\programdata\ATI
2012-07-20 13:25 . 2012-07-20 13:25	--------	d-----w-	c:\program files (x86)\AMD AVT
2012-07-20 13:25 . 2012-07-20 13:25	--------	d-----w-	c:\program files (x86)\AMD APP
2012-07-20 13:25 . 2012-07-20 13:25	--------	d-----w-	c:\program files\Common Files\ATI Technologies
2012-07-20 13:25 . 2012-07-20 13:25	--------	d-----w-	c:\program files (x86)\Common Files\ATI Technologies
2012-07-20 13:25 . 2012-07-20 13:25	--------	d-----w-	c:\program files (x86)\ATI Technologies
2012-07-20 13:25 . 2012-07-20 13:25	--------	d-----w-	c:\program files\ATI
2012-07-20 13:24 . 2012-07-20 13:25	--------	d-----w-	c:\program files\ATI Technologies
2012-07-20 11:57 . 2012-06-12 03:08	3148800	----a-w-	c:\windows\system32\win32k.sys
2012-07-20 11:55 . 2012-07-20 11:55	--------	d-----w-	c:\program files (x86)\Microsoft CAPICOM 2.1.0.2
2012-07-20 11:53 . 2010-02-23 08:16	294912	----a-w-	c:\windows\system32\browserchoice.exe
2012-07-20 11:51 . 2012-07-03 01:19	59701280	----a-w-	c:\windows\system32\MRT.exe
2012-07-20 11:46 . 2012-06-09 05:43	14172672	----a-w-	c:\windows\system32\shell32.dll
2012-07-20 11:45 . 2012-06-02 05:50	458704	----a-w-	c:\windows\system32\drivers\cng.sys
2012-07-20 11:44 . 2012-06-06 06:05	495616	----a-w-	c:\program files\Common Files\System\ado\msadox.dll
2012-07-16 22:38 . 2012-07-16 22:39	--------	d-----w-	c:\program files (x86)\XMind
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-04 15:00 . 2012-05-13 22:01	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-08-04 15:00 . 2012-05-13 22:01	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-21 15:17 . 2012-05-14 01:18	955840	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-07-21 15:17 . 2012-05-14 01:18	839096	----a-w-	c:\windows\system32\deployJava1.dll
2012-07-08 19:32 . 2012-07-08 19:32	406528	----a-w-	c:\windows\SysWow64\ReWire.dll
2012-07-08 19:32 . 2012-07-08 19:32	338432	----a-w-	c:\windows\SysWow64\REX Shared Library.dll
2012-06-11 18:59 . 2012-06-11 18:59	10248192	----a-w-	c:\windows\system32\drivers\atikmdag.sys
2012-06-11 18:35 . 2012-06-11 18:35	70144	----a-w-	c:\windows\system32\coinst_8.98.dll
2012-06-11 18:29 . 2012-06-11 18:29	24826368	----a-w-	c:\windows\system32\atio6axx.dll
2012-06-11 18:00 . 2012-06-11 18:00	20467712	----a-w-	c:\windows\SysWow64\atioglxx.dll
2012-06-11 17:25 . 2012-06-11 17:25	163840	----a-w-	c:\windows\system32\atiapfxx.exe
2012-06-11 17:24 . 2012-06-11 17:24	924160	----a-w-	c:\windows\SysWow64\aticfx32.dll
2012-06-11 17:23 . 2012-06-11 17:23	1090560	----a-w-	c:\windows\system32\aticfx64.dll
2012-06-11 17:20 . 2012-06-11 17:20	442368	----a-w-	c:\windows\system32\ATIDEMGX.dll
2012-06-11 17:19 . 2012-06-11 17:19	532992	----a-w-	c:\windows\system32\atieclxx.exe
2012-06-11 17:19 . 2012-06-11 17:19	239616	----a-w-	c:\windows\system32\atiesrxx.exe
2012-06-11 17:17 . 2012-06-11 17:17	120320	----a-w-	c:\windows\system32\atitmm64.dll
2012-06-11 17:17 . 2012-06-11 17:17	21504	----a-w-	c:\windows\system32\atimuixx.dll
2012-06-11 17:17 . 2012-06-11 17:17	59392	----a-w-	c:\windows\system32\atiedu64.dll
2012-06-11 17:17 . 2012-06-11 17:17	43520	----a-w-	c:\windows\SysWow64\ati2edxx.dll
2012-06-11 17:16 . 2012-06-11 17:16	6301696	----a-w-	c:\windows\SysWow64\atidxx32.dll
2012-06-11 17:01 . 2012-06-11 17:01	6914560	----a-w-	c:\windows\system32\atidxx64.dll
2012-06-11 16:51 . 2012-06-11 16:51	4246528	----a-w-	c:\windows\system32\atiumd6a.dll
2012-06-11 16:45 . 2012-06-11 16:45	51200	----a-w-	c:\windows\system32\aticalrt64.dll
2012-06-11 16:45 . 2012-06-11 16:45	46080	----a-w-	c:\windows\SysWow64\aticalrt.dll
2012-06-11 16:45 . 2012-06-11 16:45	5480448	----a-w-	c:\windows\SysWow64\atiumdag.dll
2012-06-11 16:45 . 2012-06-11 16:45	44544	----a-w-	c:\windows\system32\aticalcl64.dll
2012-06-11 16:45 . 2012-06-11 16:45	44032	----a-w-	c:\windows\SysWow64\aticalcl.dll
2012-06-11 16:45 . 2012-06-11 16:45	15703040	----a-w-	c:\windows\system32\aticaldd64.dll
2012-06-11 16:43 . 2012-06-11 16:43	4729344	----a-w-	c:\windows\SysWow64\atiumdva.dll
2012-06-11 16:40 . 2012-06-11 16:40	13277696	----a-w-	c:\windows\SysWow64\aticaldd.dll
2012-06-11 16:36 . 2012-06-11 16:36	6605824	----a-w-	c:\windows\system32\atiumd64.dll
2012-06-11 16:34 . 2012-06-11 16:34	77312	----a-w-	c:\windows\system32\amdave64.dll
2012-06-11 16:34 . 2012-06-11 16:34	77312	----a-w-	c:\windows\SysWow64\amdave32.dll
2012-06-11 16:34 . 2012-06-11 16:34	74240	----a-w-	c:\windows\system32\atisamu64.dll
2012-06-11 16:34 . 2012-06-11 16:34	71168	----a-w-	c:\windows\atisamu32.dll
2012-06-11 16:27 . 2012-06-11 16:27	539136	----a-w-	c:\windows\system32\atiadlxx.dll
2012-06-11 16:26 . 2012-06-11 16:26	368640	----a-w-	c:\windows\SysWow64\atiadlxy.dll
2012-06-11 16:26 . 2012-06-11 16:26	17920	----a-w-	c:\windows\system32\atig6pxx.dll
2012-06-11 16:26 . 2012-06-11 16:26	14848	----a-w-	c:\windows\SysWow64\atiglpxx.dll
2012-06-11 16:26 . 2012-06-11 16:26	14848	----a-w-	c:\windows\system32\atiglpxx.dll
2012-06-11 16:26 . 2012-06-11 16:26	41984	----a-w-	c:\windows\system32\atig6txx.dll
2012-06-11 16:26 . 2012-06-11 16:26	33280	----a-w-	c:\windows\SysWow64\atigktxx.dll
2012-06-11 16:26 . 2012-06-11 16:26	367616	----a-w-	c:\windows\system32\drivers\atikmpag.sys
2012-06-11 16:25 . 2012-06-11 16:25	54784	----a-w-	c:\windows\system32\atiuxp64.dll
2012-06-11 16:25 . 2012-06-11 16:25	42496	----a-w-	c:\windows\SysWow64\atiuxpag.dll
2012-06-11 16:25 . 2012-06-11 16:25	45056	----a-w-	c:\windows\system32\atiu9p64.dll
2012-06-11 16:24 . 2012-06-11 16:24	32768	----a-w-	c:\windows\SysWow64\atiu9pag.dll
2012-06-11 16:24 . 2012-06-11 16:24	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2012-06-11 16:23 . 2012-06-11 16:23	56320	----a-w-	c:\windows\system32\atimpc64.dll
2012-06-11 16:23 . 2012-06-11 16:23	56320	----a-w-	c:\windows\system32\amdpcom64.dll
2012-06-11 16:23 . 2012-06-11 16:23	56832	----a-w-	c:\windows\SysWow64\atimpc32.dll
2012-06-11 16:23 . 2012-06-11 16:23	56832	----a-w-	c:\windows\SysWow64\amdpcom32.dll
2012-06-11 11:50 . 2012-06-11 11:50	187392	----a-w-	c:\windows\system32\clinfo.exe
2012-06-11 11:50 . 2012-06-11 11:50	75264	----a-w-	c:\windows\system32\OpenVideo64.dll
2012-06-11 11:50 . 2012-06-11 11:50	65024	----a-w-	c:\windows\SysWow64\OpenVideo.dll
2012-06-11 11:50 . 2012-06-11 11:50	63488	----a-w-	c:\windows\system32\OVDecode64.dll
2012-06-11 11:50 . 2012-06-11 11:50	56320	----a-w-	c:\windows\SysWow64\OVDecode.dll
2012-06-11 11:50 . 2012-06-11 11:50	16457728	----a-w-	c:\windows\system32\amdocl64.dll
2012-06-11 11:49 . 2012-06-11 11:49	13008896	----a-w-	c:\windows\SysWow64\amdocl.dll
2012-06-06 16:57 . 2012-06-06 16:57	352112	----a-w-	c:\windows\system32\oodbs.exe
2012-06-06 16:56 . 2012-06-06 16:56	10608	----a-w-	c:\windows\system32\oodbsrs.dll
2012-06-02 22:19 . 2012-06-21 09:15	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 09:15	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-21 09:15	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 09:15	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 09:15	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:15 . 2012-06-21 09:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-21 09:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-21 09:15	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:15 . 2012-06-21 09:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-05-30 11:03 . 2012-05-30 11:03	772552	----a-w-	c:\windows\SysWow64\npDeployJava1.dll
2012-05-13 20:32 . 2012-05-13 20:32	91648	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-05-13 20:32 . 2012-05-13 20:32	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-05-13 20:32 . 2012-05-13 20:32	89088	----a-w-	c:\windows\system32\ie4uinit.exe
2012-05-13 20:32 . 2012-05-13 20:32	86528	----a-w-	c:\windows\SysWow64\iesysprep.dll
2012-05-13 20:32 . 2012-05-13 20:32	85504	----a-w-	c:\windows\system32\iesetup.dll
2012-05-13 20:32 . 2012-05-13 20:32	82432	----a-w-	c:\windows\system32\icardie.dll
2012-05-13 20:32 . 2012-05-13 20:32	76800	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2012-05-13 20:32 . 2012-05-13 20:32	76800	----a-w-	c:\windows\system32\tdc.ocx
2012-05-13 20:32 . 2012-05-13 20:32	74752	----a-w-	c:\windows\SysWow64\RegisterIEPKEYs.exe
2012-05-13 20:32 . 2012-05-13 20:32	74752	----a-w-	c:\windows\SysWow64\iesetup.dll
2012-05-13 20:32 . 2012-05-13 20:32	697344	----a-w-	c:\windows\system32\msfeeds.dll
2012-05-13 20:32 . 2012-05-13 20:32	65024	----a-w-	c:\windows\system32\pngfilt.dll
2012-05-13 20:32 . 2012-05-13 20:32	63488	----a-w-	c:\windows\SysWow64\tdc.ocx
2012-05-13 20:32 . 2012-05-13 20:32	603648	----a-w-	c:\windows\system32\vbscript.dll
2012-05-13 20:32 . 2012-05-13 20:32	55296	----a-w-	c:\windows\system32\msfeedsbs.dll
2012-05-13 20:32 . 2012-05-13 20:32	534528	----a-w-	c:\windows\system32\ieapfltr.dll
2012-05-13 20:32 . 2012-05-13 20:32	49664	----a-w-	c:\windows\system32\imgutil.dll
2012-05-13 20:32 . 2012-05-13 20:32	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2012-05-13 20:32 . 2012-05-13 20:32	48640	----a-w-	c:\windows\system32\mshtmler.dll
2012-05-13 20:32 . 2012-05-13 20:32	452608	----a-w-	c:\windows\system32\dxtmsft.dll
2012-05-13 20:32 . 2012-05-13 20:32	448512	----a-w-	c:\windows\system32\html.iec
2012-05-13 20:32 . 2012-05-13 20:32	420864	----a-w-	c:\windows\SysWow64\vbscript.dll
2012-05-13 20:32 . 2012-05-13 20:32	403248	----a-w-	c:\windows\system32\iedkcs32.dll
2012-05-13 20:32 . 2012-05-13 20:32	39936	----a-w-	c:\windows\system32\iernonce.dll
2012-05-13 20:32 . 2012-05-13 20:32	3695416	----a-w-	c:\windows\system32\ieapfltr.dat
2012-05-13 20:32 . 2012-05-13 20:32	367104	----a-w-	c:\windows\SysWow64\html.iec
2012-05-13 20:32 . 2012-05-13 20:32	35840	----a-w-	c:\windows\SysWow64\imgutil.dll
2012-05-13 20:32 . 2012-05-13 20:32	30720	----a-w-	c:\windows\system32\licmgr10.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2012-06-17 694032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe" [2012-06-07 56128]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2012-02-27 291608]
"Abyssus"="c:\program files (x86)\Razer\Abyssus\razerhid.exe" [2011-03-10 231936]
"KeePass 2 PreLoad"="c:\program files (x86)\KeePass\KeePass.exe" [2012-05-01 1895424]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-06-11 641704]
"IJNetworkScanUtility"="c:\program files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2010-08-24 206240]
"LogMeIn Hamachi Ui"="c:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-06-27 1996200]
.
c:\users\Felix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Felix\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
NETGEAR WNA3100 Setup-Assistent.lnk - c:\program files (x86)\NETGEAR\WNA3100\WNA3100.exe [2012-5-13 4577760]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 Intel(R) ME Service;Intel(R) ME Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [x]
R2 WSWNA3100;WSWNA3100;c:\program files (x86)\NETGEAR\WNA3100\WifiSvc.exe [2010-08-26 285152]
R3 cphs;Intel(R) Content Protection HECI Service;c:\windows\SysWow64\IntelCpHeciSvc.exe [2012-03-22 276248]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]
R3 GPU-Z;GPU-Z;c:\users\Felix\AppData\Local\Temp\GPU-Z.sys [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-18 113120]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-03-20 98688]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\NisSrv.exe [2012-03-26 291696]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-21 20992]
R3 SwitchBoard;Adobe SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [2010-11-21 88960]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2010-11-21 34816]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [2010-11-21 117248]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-04-25 52736]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WinRing0_1_2_0;WinRing0_1_2_0;c:\users\Felix\Downloads\RealTemp\WinRing0x64.sys [2008-07-26 14544]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 23040]
R3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [2009-07-14 25088]
R4 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-06-07 160944]
S0 iusb3hcs;Intel(R) USB 3.0 Hostcontroller-Switchtreiber;c:\windows\system32\DRIVERS\iusb3hcs.sys [2012-02-27 16152]
S0 SCMNdisP;General NDIS Protocol Driver;c:\windows\system32\DRIVERS\scmndisp.sys [2007-01-19 25312]
S1 AsrAppCharger;AsrAppCharger;c:\windows\system32\DRIVERS\AsrAppCharger.sys [2011-05-10 17192]
S1 Pdhd2.sys;Service for Prodigy HD2 EWDM;c:\windows\system32\DRIVERS\Pdhd2.sys [2009-10-29 51296]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-04-04 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-06-11 239616]
S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x64.sys [2012-03-09 23816]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-06-27 2369960]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2012-05-30 13632]
S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe [2012-02-02 628448]
S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [2012-02-21 161560]
S2 OODefragAgent;O&O Defrag;c:\program files\OO Software\Defrag\oodag.exe [2012-06-06 3293552]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2012-02-28 363800]
S3 Abyssus;Razer Abyssus;c:\windows\system32\drivers\Abyssus.sys [2009-10-30 10880]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2012-06-11 10248192]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2012-06-11 367616]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2012-02-23 95760]
S3 BCMH43XX;Treiber für Broadcom 802.11-USB-Netzwerkadapter;c:\windows\system32\DRIVERS\bcmwlhigh664.sys [2009-11-06 838136]
S3 iusb3hub;Intel(R) USB 3.0-Hubtreiber;c:\windows\system32\DRIVERS\iusb3hub.sys [2012-02-27 356120]
S3 iusb3xhc;Intel(R) USB 3.0 eXtensible-Hostcontrollertreiber;c:\windows\system32\DRIVERS\iusb3xhc.sys [2012-02-27 788760]
S3 MEIx64;Intel(R) Management Engine Interface ;c:\windows\system32\DRIVERS\HECIx64.sys [2011-11-09 60184]
S3 Pdhd2Wdm.sys;Service for Prodigy HD2 WDM;c:\windows\system32\DRIVERS\Pdhd2Wdm.sys [2009-10-29 41568]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2012-02-16 676968]
S3 VKbms;Virtual HID Minidriver;c:\windows\system32\DRIVERS\VKbms.sys [2010-09-30 13312]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-03-22 170264]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-03-22 398616]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-03-22 439064]
"Pdhd2Pan.exe"="Pdhd2Pan.exe" [2009-10-29 3499616]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 1271168]
"OODefragTray"="c:\program files\OO Software\Defrag\oodtray.exe" [2012-06-06 3998064]
"combofix"="c:\combofix\CF29837.3XE" [2010-11-21 345088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: An OneNote s&enden - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\7cdv9k4r.Backup\
FF - prefs.js: network.proxy.type - 0
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3500417394-1177683058-3720251977-1000\Software\SecuROM\License information*]
"datasecu"=hex:f1,fb,2e,c2,61,11,50,6f,75,71,05,e2,d6,d3,0f,a9,23,2f,99,4d,56,
   e3,c3,c6,81,d8,ce,64,af,46,4b,f9,4b,b7,bc,f9,eb,c7,ee,f2,5b,55,87,f5,30,5b,\
"rkeysecu"=hex:5b,4e,60,20,ea,9a,d2,fd,f9,c1,9f,0e,99,a3,f7,55
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_270_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_270_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_270.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-10  18:34:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-10 16:34
.
Vor Suchlauf: 8.842.280.960 Bytes frei
Nach Suchlauf: 9.434.759.168 Bytes frei
.
- - End Of File - - 7CC0454ACB61B00C7647C0B15F1D3B80
         
Add-Remove Programs.txt:
Code:
ATTFilter
Adobe AIR
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Photoshop CS6
Adobe Reader X (10.1.3) - Deutsch
Adobe Shockwave Player 11.6
Apple Application Support
Apple Software Update
µTorrent
Audacity 2.0
Canon IJ Network Scan Utility
Canon IJ Network Tool
Canon MP Navigator EX 4.0
Canon My Printer
Catalyst Control Center
Catalyst Control Center - Branding
Catalyst Control Center Graphics Previews Common
Catalyst Control Center InstallProxy
Catalyst Control Center Localization All
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
CDisplayEx 1.8
Citavi
Counter-Strike: Source
Crysis® 2
Dropbox
FileHippo.com Update Checker
foobar2000 v1.1.13
Fraps
Grand Theft Auto IV
Grand Theft Auto: Episodes From Liberty City
HD Tune 2.55
ImgBurn
Intel(R) Manageability Engine Firmware Recovery Agent
Intel(R) Management Engine Components
Intel(R) OpenCL CPU Runtime
Intel(R) Processor Graphics
Intel(R) Rapid Storage Technology
Intel(R) USB 3.0 eXtensible Host Controller Driver
Java Auto Updater
Java(TM) 7 Update 4
JavaFX 2.1.0
KeePass Password Safe 2.19
Last.fm 1.5.4.27091
Logitech High Quality Video
LogMeIn Hamachi
Malwarebytes Anti-Malware Version 1.62.0.1300
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
Microsoft_VC80_CRT_x86
Microsoft_VC90_CRT_x86
Mozilla Firefox 14.0.1 (x86 de)
Mozilla Maintenance Service
Mozilla Thunderbird 14.0 (x86 de)
MusicBrainz Picard
NETGEAR WNA3100 wireless USB 2.0 adapter
PDF Settings CS6
Razer Abyssus
Reason 5.0.1
Security Update for CAPICOM (KB931906)
Skype™ 5.10
SpeedFan (remove only)
Spybot - Search & Destroy
Steam
swMSM
The Elder Scrolls V - Skyrim version 1.0
Unity Web Player
VirtualCloneDrive
VLC media player 2.0.3
Wunderlist
XMind
         
Vielen Dank,
sim.

Alt 10.08.2012, 18:05   #15
t'john
/// Helfer-Team
 
GVU Trojaner & Konsequenzen - Standard

GVU Trojaner & Konsequenzen



Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu GVU Trojaner & Konsequenzen
achtung, anleitung, autoruns, board, datei, definitionen, eingefangen, explorer, funktioniert, hallo zusammen, heute, hängen, infektion, keylogger, link, malwarebytes, modus, neues, offen, process, prozesse, security, trojaner, verdächtige, wechseln, ändern



Zum Thema GVU Trojaner & Konsequenzen - Hallo zusammen, habe mir heute morgen durch den Link eines Bekannten oben genannte Ransomware eingefangen und seitdem versucht alles wieder ins Lot zu bringen. Leider habe ich in meiner geistigen - GVU Trojaner & Konsequenzen...
Archiv
Du betrachtest: GVU Trojaner & Konsequenzen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.