Hallo,
ein Freund von mir hat sich den GVU-Trojaner eingefangen und sich flehend an mich gewendet... da ich selbst schon den BKA-Trojaner hatte, übernehme ich die Problemlösung und wende mich damit selbstverständlich an das Board meines Vertrauens. Ich finde übrigens interessant, dass der GVU nur bei bestehender Internetverbindung anschlägt (wenn ich Wlan deaktiviere, kommt nichts) und dass man sich trotzdem mit Strg+Alt+Entf ab- und wieder neu anmelden kann, als wäre nichts gewesen.
Nach kurzer Recherche weiß ich nun schon mal, dass der GVU-Trojaner fies, aber nicht unbesiegbar ist. Habe als erstes routinemäßig den installierten Antivirenschutz drüberlaufen lassen (Avast kostenlos), der hat auch einiges gefunden und gelöscht. U.a. die Datei wgsdgsdgdsgsd.exe (liegt unter AppData/Temp) soll wohl im Autostart geladen werden, die habe ich aber gelöscht. Daher kommt jetzt immer beim Start eine Fehlermeldung, dass eben die nicht gefunden wurde.
adwcleaner habe ich außerdem noch laufen lassen, der hat ein paar Sachen moniert, siehe Log:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.005 - Datei am 18/10/2012 um 23:48:20 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : ** Benutzer ** - ** Benutzer **-PC
# Bootmodus : Normal
# Ausgeführt unter : F:\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\** Benutzer **\AppData\Roaming\Mozilla\Firefox\Profiles\kaw6fuis.default\searchplugins\Askcom.xml
Ordner Gelöscht : C:\Program Files (x86)\Ask.com
Ordner Gelöscht : C:\Users\** Benutzer **\AppData\Local\APN
Ordner Gelöscht : C:\Users\** Benutzer **\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\** Benutzer **\AppData\Roaming\Mozilla\Firefox\Profiles\kaw6fuis.default\extensions\toolbar@ask.com
Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://de.ask.com/?l=dis&o=15003 --> hxxp://www.google.com

-\\ Mozilla Firefox v15.0.1 (de)

Profilname : default 
Datei : C:\Users\** Benutzer **\AppData\Roaming\Mozilla\Firefox\Profiles\kaw6fuis.default\prefs.js

Gelöscht : user_pref("browser.search.defaultengine", "Ask.com");
Gelöscht : user_pref("browser.search.defaultenginename", "Ask.com");
Gelöscht : user_pref("browser.search.order.1", "Ask.com");
Gelöscht : user_pref("browser.startup.homepage", "hxxp://de.ask.com/?l=dis&o=15003");
Gelöscht : user_pref("extensions.asktb.ff-original-keyword-url", "");
Gelöscht : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=[...]

-\\ Google Chrome v22.0.1229.79

Datei : C:\Users\** Benutzer **\AppData\Local\Google\Chrome\User Data\Default\Preferences

Gelöscht [l.8] : homepage = "hxxp://www.ask.com/?l=dis&o=15003cr",
Gelöscht [l.232] : homepage = "hxxp://www.ask.com/?l=dis&o=15003cr",

*************************

AdwCleaner[R1].txt - [5648 octets] - [18/10/2012 23:47:35]
AdwCleaner[S1].txt - [5467 octets] - [18/10/2012 23:48:20]

########## EOF - C:\AdwCleaner[S1].txt - [5527 octets] ##########
         

Dann habe ich den Eset-Malwarescanner laufen lassen, der hat aber nur eine Setupdatei für verdächtig gehalten. Habe ich sicherheitshalber unter Quarantäne gestellt.

Malwarebytes hat auch noch was gefunden und da habe ich einmal das Log von vor dem Löschen und einmal von nachher. Hier vorher:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.19.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
** Benutzer ** :: ** Benutzer **-PC [Administrator]

19.10.2012 13:10:04
mbam-log-2012-10-19 (13-10-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 213444
Laufzeit: 2 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Und von nach dem Löschen

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.19.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
** Benutzer ** :: ** Benutzer **-PC [Administrator]

19.10.2012 13:10:04
mbam-log-2012-10-19 (13-12-45).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 213444
Laufzeit: 2 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> Keine Aktion durchgeführt.

(Ende)
         

Wie soll ich jetzt weitermachen? Der Trojaner taucht schon nicht mehr auf, aber ich kann mir vorstellen, dass noch nicht alles wieder in Butter ist.

Danke schon mal!

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Scan ist fertig und hat nichts gefunden!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.19.14

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
** Benutzer ** :: ** Benutzer **-PC [Administrator]

19.10.2012 23:11:09
mbam-log-2012-10-19 (23-11-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 355663
Laufzeit: 42 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Ist der PC dann tatsächlich frei oder soll ich noch was machen? Sonst muss man doch immer mit OTL gucken...?

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Gemacht! Wieder nichts gefunden, hier die Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3de6c46d8bc4f54a831f04fd83a100ba
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-21 12:31:14
# local_time=2012-10-21 02:31:14 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 76268 102447828 0 0
# compatibility_mode=8192 67108863 100 0 185 185 0 0
# scanned=146111
# found=0
# cleaned=0
# scan_time=4696
         

Und jetzt?

Bitte ein neues Log mit dem adwcleaner machen:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Gesagt, getan:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.005 - Datei am 21/10/2012 um 17:37:12 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : ** BENUTZER ** - ** BENUTZER **-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\** BENUTZER **\Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Users\** BENUTZER **\AppData\Local\Temp\Uninstall.exe

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v16.0.1 (de)

Profilname : default 
Datei : C:\Users\** BENUTZER **\AppData\Roaming\Mozilla\Firefox\Profiles\kaw6fuis.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v22.0.1229.94

Datei : C:\Users\** BENUTZER **\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [5648 octets] - [18/10/2012 23:47:35]
AdwCleaner[S1].txt - [5584 octets] - [18/10/2012 23:48:20]
AdwCleaner[R2].txt - [1567 octets] - [21/10/2012 17:37:12]

########## EOF - C:\AdwCleaner[R2].txt - [1627 octets] ##########
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Fertig!

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.005 - Datei am 21/10/2012 um 17:54:57 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : ** BENUTZER ** - ** BENUTZER **-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\** BENUTZER **\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\** BENUTZER **\AppData\Local\Temp\Uninstall.exe

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v16.0.1 (de)

Profilname : default 
Datei : C:\Users\** BENUTZER **\AppData\Roaming\Mozilla\Firefox\Profiles\kaw6fuis.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v22.0.1229.94

Datei : C:\Users\** BENUTZER **\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [5648 octets] - [18/10/2012 23:47:35]
AdwCleaner[S1].txt - [5584 octets] - [18/10/2012 23:48:20]
AdwCleaner[R2].txt - [1744 octets] - [21/10/2012 17:37:12]
AdwCleaner[S2].txt - [1629 octets] - [21/10/2012 17:54:57]

########## EOF - C:\AdwCleaner[S2].txt - [1689 octets] ##########
         

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

1. Ja, keine Anomalitäten zu spüren.
2. Die Antwort ist schwer, weil es ja nicht mein Rechner ist (zumindest was das "wie immer aussehen" betrifft). Leere Ordner oder sonstige Merkwürdigkeiten sind mir aber nicht aufgefallen.

Okay, auch erledigt. Das Programm hat aber anfangs nicht gefragt, ob ich die Avast-Definitionen benutzen möchte. Daher habe ich einmal nen Quickscan und einmal mit der Voreinstellung (none) gescannt.

Log Quickscan:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-25 22:45:51
-----------------------------
22:45:51.569    OS Version: Windows x64 6.1.7601 Service Pack 1
22:45:51.569    Number of processors: 4 586 0x2505
22:45:51.569    ComputerName: ** Benutzer **-PC  UserName: ** Benutzer **
22:45:52.053    Initialize success
22:45:52.880    AVAST engine defs: 12102501
22:46:42.753    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
22:46:42.768    Disk 0 Vendor: SAMSUNG_ 2AJ1 Size: 610480MB BusType: 3
22:46:42.768    Disk 0 MBR read successfully
22:46:42.784    Disk 0 MBR scan
22:46:42.784    Disk 0 Windows 7 default MBR code
22:46:42.784    Disk 0 Partition 1 00     83        Linux             20473 MB offset 63
22:46:42.815    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       233587 MB offset 41945088
22:46:42.846    Disk 0 Partition - 00     0F Extended LBA            206414 MB offset 520331264
22:46:42.878    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       149996 MB offset 943067136
22:46:42.909    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       206413 MB offset 520333312
22:46:42.956    Disk 0 scanning C:\Windows\system32\drivers
22:46:55.342    Service scanning
22:47:14.624    Modules scanning
22:47:15.139    Disk 0 trace - called modules:
22:47:15.185    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
22:47:15.185    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80048d5060]
22:47:15.201    3 CLASSPNP.SYS[fffff88001b2943f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004619050]
22:47:15.763    AVAST engine scan C:\Windows
22:47:17.369    AVAST engine scan C:\Windows\system32
22:49:30.640    AVAST engine scan C:\Windows\system32\drivers
22:49:41.124    AVAST engine scan C:\Users\** Benutzer **
22:51:06.269    AVAST engine scan C:\ProgramData
22:51:17.875    Scan finished successfully
22:52:37.436    Disk 0 MBR has been saved successfully to "C:\Users\** Benutzer **\Desktop\MBR.dat"
22:52:37.436    The log file has been saved successfully to "C:\Users\** Benutzer **\Desktop\aswMBR.txt"
         

Log (none):

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-25 22:52:49
-----------------------------
22:52:49.263    OS Version: Windows x64 6.1.7601 Service Pack 1
22:52:49.263    Number of processors: 4 586 0x2505
22:52:49.263    ComputerName: ** Benutzer **-PC  UserName: ** Benutzer **
22:52:49.824    Initialize success
22:52:49.871    AVAST engine defs: 12102501
22:52:53.459    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
22:52:53.459    Disk 0 Vendor: SAMSUNG_ 2AJ1 Size: 610480MB BusType: 3
22:52:53.475    Disk 0 MBR read successfully
22:52:53.475    Disk 0 MBR scan
22:52:53.490    Disk 0 Windows 7 default MBR code
22:52:53.490    Disk 0 Partition 1 00     83        Linux             20473 MB offset 63
22:52:53.506    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       233587 MB offset 41945088
22:52:53.506    Disk 0 Partition - 00     0F Extended LBA            206414 MB offset 520331264
22:52:53.537    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       149996 MB offset 943067136
22:52:53.584    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       206413 MB offset 520333312
22:52:53.584    Disk 0 scanning C:\Windows\system32\drivers
22:53:03.303    Service scanning
22:53:20.977    Modules scanning
22:53:21.492    Disk 0 trace - called modules:
22:53:21.523    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
22:53:21.523    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80048d5060]
22:53:21.539    3 CLASSPNP.SYS[fffff88001b2943f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004619050]
22:53:21.555    Scan finished successfully
22:57:37.083    Disk 0 MBR has been saved successfully to "C:\Users\** Benutzer **\Desktop\MBR.dat"
22:57:37.099    The log file has been saved successfully to "C:\Users\** Benutzer **\Desktop\aswMBR - none.txt"
         

Und SUPERAntiSpyware auch nicht!

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/26/2012 at 03:17 PM

Application Version : 5.6.1012

Core Rules Database Version : 9476
Trace Rules Database Version: 7288

Scan type       : Complete Scan
Total Scan Time : 00:08:18

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 554
Memory threats detected   : 0
Registry items scanned    : 76325
Registry threats detected : 0
File items scanned        : 8886
File threats detected     : 0
         

So, jetzt hat ers mitbekommen.

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/26/2012 at 04:00 PM

Application Version : 5.6.1012

Core Rules Database Version : 9476
Trace Rules Database Version: 7288

Scan type       : Quick Scan
Total Scan Time : 00:02:43

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Administrator

Memory items scanned      : 624
Memory threats detected   : 0
Registry items scanned    : 63960
Registry threats detected : 0
File items scanned        : 10502
File threats detected     : 0
         

Mach bitte einen (neuen) CustomScan mit OTL - das Log davon nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread