Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GVU-Trojaner auch im abgesicherten Modus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.01.2013, 18:19   #1
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo, ich habe auf meinem Rechner den GVU Trojaner. Leider hat er auch den abgesicherten Modus befallen. Bitte um Hilfe.

Alt 25.01.2013, 18:20   #2
aharonov
/// TB-Ausbilder
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus





Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld.


Was hast du für ein Betriebssystem? Windows XP, Vista, 7? Ist es 32-bit oder 64-bit?
__________________

__________________

Alt 26.01.2013, 11:44   #3
aharonov
/// TB-Ausbilder
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Ich wiederhole die Frage, falls diese untergegangen sein sollte...

Was hast du für ein Betriebssystem? Windows XP, Vista, 7? Ist es 32-bit oder 64-bit?
__________________
__________________

Alt 26.01.2013, 17:36   #4
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Leo, erst mal Danke für Deine Bemühungen. Mein Betriebssystem ist:
MS Windows 7 Home Premium 32bit OEM.
Gruß, Bernd

Alt 26.01.2013, 18:21   #5
aharonov
/// TB-Ausbilder
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Bernd und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf
  • Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
    • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
    • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
    • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
    • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.
  • Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
    • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
    • .. installiere oder deinstalliere während der Bereinigung keine Software.
    • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).
  • Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
    • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
    • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.
Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.



Ok, dann schauen wir erst mal, wo sich das Ding eingenistet hat:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.


Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST

__________________
cheers,
Leo

Alt 26.01.2013, 19:29   #6
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Leo, ich bin jetzt dran. Bei mir dauert alles ein bißchen länger. Ich kann schlecht Englich, und habe Parkinson. Heute mittag habe ich eine Otlpen CD gebrannt und damit den PC gestartet. Weiter habe ich nichts gemacht. Jetz habe ich Deine Anweisung befolgt bis zu der Auforderung "Wähle Computer". Dort kann ich aber meinen USB Stick nicht finden.

Hallo Leo, jetzt ist der Stick da, ich mache nun weiter in der Liste.

Hallo ich habe jetzt FRST

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 21-01-2013 02
Ran by SYSTEM at 26-01-2013 20:52:29
Running from F:\
Windows 7 Home Premium (X86) OS Language: German Standard
The current controlset is ControlSet002

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r [1409024 2009-05-18] (VIA)
HKLM\...\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2221352 2008-02-18] (Nero AG)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2010-11-04] (Avira GmbH)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [31016 2006-10-26] (Microsoft Corporation)
HKLM\...\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe [648072 2007-05-31] (Microsoft Corporation)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [937920 2011-06-06] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [] [x]
HKLM\...\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" [1564872 2012-06-06] (Ask)
HKU\Bernd Preußer\...\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 [1828136 2008-02-28] (Nero AG)
HKU\Bernd Preußer\...\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\Bernd Preußer\...\Run: [Device Detection] C:\Program Files\Lidl_Fotos\dd.exe [800704 2012-10-12] ()
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Startup: C:\Users\All Users\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.285\SSScheduler.exe (McAfee, Inc.)

==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [136360 2011-04-27] (Avira GmbH)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [269480 2011-07-02] (Avira GmbH)
2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe /DisableUI [1253376 2009-08-27] (MAGIX AG)
3 FirebirdServerMAGIXInstance; "C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe" [3276800 2008-08-07] (MAGIX®)
3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.0.285\McCHSvc.exe" [234776 2012-09-05] (McAfee, Inc.)
2 SBSDWSCService; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
2 Winmgmt; C:\Users\BERNDP~1\AppData\Local\Temp\DCdJOya.exe [168448 2013-01-24] ()
2 MSSQL$MSSMLBIZ; "c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [x]
4 MSSQLServerADHelper; "c:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [x]
4 SQLBrowser; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe" [x]
3 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [x]

==================== Drivers (Whitelisted) ====================

2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-07-02] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-07-02] (Avira GmbH)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2009-05-11] (Avira GmbH)
3 VIAHdAudAddService; C:\Windows\System32\drivers\viahduaa.sys [1067008 2009-07-10] (VIA Technologies, Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-01-26 20:52 - 2013-01-26 20:52 - 00000000 ____D C:\FRST
2013-01-25 23:15 - 2013-01-25 23:41 - 00063430 ____A C:\OTL.Txt
2013-01-24 12:11 - 2013-01-24 12:11 - 00000316 ____A C:\Windows\PFRO.log
2013-01-24 11:01 - 2013-01-26 15:01 - 95023320 ___AT C:\Users\All Users\ayOJdCD.pad
2013-01-24 11:01 - 2013-01-24 11:01 - 00003268 ____A C:\Users\All Users\ayOJdCD.js
2013-01-22 18:42 - 2013-01-22 18:42 - 04010439 ____A C:\Users\Bernd Preußer\Downloads\escapando da morte.wmv
2013-01-21 18:54 - 2013-01-21 18:54 - 00003584 ____A C:\Users\Bernd Preußer\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-01-16 10:39 - 2013-01-26 15:00 - 00003102 ____A C:\Windows\setupact.log
2013-01-16 10:39 - 2013-01-16 10:39 - 00000000 ____A C:\Windows\setuperr.log
2013-01-13 09:43 - 2012-12-07 13:26 - 00308736 ____A (Microsoft Corporation) C:\Windows\System32\Wpc.dll
2013-01-13 09:43 - 2012-12-07 13:20 - 02576384 ____A (Microsoft Corporation) C:\Windows\System32\gameux.dll
2013-01-13 09:43 - 2012-12-07 11:46 - 00055296 ____A (Microsoft) C:\Windows\System32\cero.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00051712 ____A (Microsoft) C:\Windows\System32\esrb.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00046592 ____A (Microsoft) C:\Windows\System32\fpb.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00045568 ____A (Microsoft) C:\Windows\System32\oflc-nz.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00044544 ____A (Microsoft) C:\Windows\System32\pegibbfc.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00043520 ____A (Microsoft) C:\Windows\System32\csrr.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00040960 ____A (Microsoft) C:\Windows\System32\cob-au.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00030720 ____A (Microsoft) C:\Windows\System32\usk.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00023552 ____A (Microsoft) C:\Windows\System32\oflc.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00021504 ____A (Microsoft) C:\Windows\System32\grb.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-pt.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-fi.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00015360 ____A (Microsoft) C:\Windows\System32\djctq.rs
2013-01-13 09:43 - 2012-11-30 05:53 - 00169984 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2013-01-13 09:43 - 2012-11-30 05:47 - 00868352 ____A (Microsoft Corporation) C:\Windows\System32\kernel32.dll
2013-01-13 09:43 - 2012-11-30 05:47 - 00293376 ____A (Microsoft Corporation) C:\Windows\System32\KernelBase.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00005120 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:55 - 00271360 ____A (Microsoft Corporation) C:\Windows\System32\conhost.exe
2013-01-13 09:43 - 2012-11-30 03:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 00:17 - 00420064 ____A C:\Windows\System32\locale.nls
2013-01-13 09:43 - 2012-11-23 03:56 - 02345984 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-01-13 09:43 - 2012-11-23 03:48 - 00049152 ____A (Microsoft Corporation) C:\Windows\System32\taskhost.exe
2013-01-13 09:43 - 2012-11-22 05:45 - 00626688 ____A (Microsoft Corporation) C:\Windows\System32\usp10.dll
2013-01-13 09:43 - 2012-11-20 05:51 - 00220160 ____A (Microsoft Corporation) C:\Windows\System32\ncrypt.dll
2013-01-13 09:43 - 2012-11-09 05:43 - 00492032 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-01-13 09:43 - 2012-11-01 05:47 - 01389568 ____A (Microsoft Corporation) C:\Windows\System32\msxml6.dll
2012-12-27 20:50 - 2012-12-27 20:50 - 00032916 ____A C:\Users\Bernd Preußer\Downloads\html-1.2.html

==================== One Month Modified Files and Folders ========

2013-01-26 20:52 - 2013-01-26 20:52 - 00000000 ____D C:\FRST
2013-01-26 15:01 - 2013-01-24 11:01 - 95023320 ___AT C:\Users\All Users\ayOJdCD.pad
2013-01-26 15:01 - 2010-07-12 11:31 - 00001108 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-01-26 15:00 - 2013-01-16 10:39 - 00003102 ____A C:\Windows\setupact.log
2013-01-26 15:00 - 2009-10-26 17:22 - 00000000 ____D C:\Users\All Users\NVIDIA
2013-01-26 15:00 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-01-25 23:41 - 2013-01-25 23:15 - 00063430 ____A C:\OTL.Txt
2013-01-25 23:12 - 2010-05-28 10:47 - 00000000 ____D C:\users\Bernd Preußer
2013-01-25 14:14 - 2011-05-16 07:09 - 01632043 ____A C:\Windows\WindowsUpdate.log
2013-01-25 13:51 - 2009-07-14 05:34 - 00015120 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-01-25 13:51 - 2009-07-14 05:34 - 00015120 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-01-25 13:43 - 2012-06-16 09:43 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-01-25 09:31 - 2010-07-12 11:31 - 00001112 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-01-24 12:11 - 2013-01-24 12:11 - 00000316 ____A C:\Windows\PFRO.log
2013-01-24 11:01 - 2013-01-24 11:01 - 00003268 ____A C:\Users\All Users\ayOJdCD.js
2013-01-24 10:34 - 2009-10-21 07:26 - 01673554 ____A C:\Windows\System32\PerfStringBackup.INI
2013-01-22 18:42 - 2013-01-22 18:42 - 04010439 ____A C:\Users\Bernd Preußer\Downloads\escapando da morte.wmv
2013-01-21 18:57 - 2011-02-26 18:43 - 00000132 ____A C:\Users\Bernd Preußer\AppData\default.pls
2013-01-21 18:54 - 2013-01-21 18:54 - 00003584 ____A C:\Users\Bernd Preußer\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-01-16 10:39 - 2013-01-16 10:39 - 00000000 ____A C:\Windows\setuperr.log
2013-01-15 12:02 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-01-15 11:41 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-01-13 17:32 - 2009-07-14 05:33 - 00437888 ____A C:\Windows\System32\FNTCACHE.DAT
2013-01-13 17:31 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-01-13 10:45 - 2009-10-21 07:43 - 65273848 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-01-13 10:26 - 2012-06-16 09:43 - 00697864 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-01-13 10:26 - 2011-06-15 18:22 - 00074248 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-01-13 10:08 - 2011-01-12 17:06 - 00024064 ____A C:\Users\Bernd Preußer\Documents\Passwörter.xls
2012-12-31 17:41 - 2009-07-14 05:53 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2012-12-27 22:11 - 2012-11-02 21:58 - 366994576 ____A C:\Users\Bernd Preußer\Aldi Fotobuch 2.cpr
2012-12-27 20:50 - 2012-12-27 20:50 - 00032916 ____A C:\Users\Bernd Preußer\Downloads\html-1.2.html

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================


==================== Memory info ===========================

Percentage of memory in use: 21%
Total physical RAM: 1791.3 MB
Available physical RAM: 1410.3 MB
Total Pagefile: 1791.3 MB
Available Pagefile: 1404.96 MB
Total Virtual: 2047.88 MB
Available Virtual: 1961.95 MB

==================== Partitions =============================

1 Drive c: (System) (Fixed) (Total:97.66 GB) (Free:61.73 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: (Daten) (Fixed) (Total:51.39 GB) (Free:48.48 GB) NTFS
4 Drive f: (CORSAIR) (Removable) (Total:15.11 GB) (Free:6.05 GB) FAT32
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 149 GB 0 B
Datentr„ger 1 Online 15 GB 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 3DCC9CFC

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 97 GB 31 KB
Partition 2 Prim„r 51 GB 97 GB

=========================================================

Disk: 0
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 C System NTFS Partition 97 GB Fehlerfre

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 D Daten NTFS Partition 51 GB Fehlerfre

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 D Daten NTFS Partition 51 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: 04DD5721

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 15 GB 31 KB

=========================================================

Disk: 1
Partition 1
Typ : 0C
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F CORSAIR FAT32 Wechselmed 15 GB Fehlerfre

=========================================================

Disk: 1
Partition 1
Typ : 0C
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F CORSAIR FAT32 Wechselmed 15 GB Fehlerfre

=========================================================

Last Boot: 2013-01-24 08:31

==================== End Of Log ============================

Hallo Leo, bin am 27.12. ca.19:00 Uhr wieder da. Muss morgen arbeiten.
Vorerst "Vielen Dank"

Hallo Leo, ich bin jetzt wieder da. Ist der Log von FRST angekommen?

Alt 27.01.2013, 19:05   #7
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Leo, hier der Log von FRST

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 21-01-2013 02
Ran by SYSTEM at 26-01-2013 20:52:29
Running from F:\
Windows 7 Home Premium (X86) OS Language: German Standard
The current controlset is ControlSet002

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r [1409024 2009-05-18] (VIA)
HKLM\...\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2221352 2008-02-18] (Nero AG)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2010-11-04] (Avira GmbH)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [31016 2006-10-26] (Microsoft Corporation)
HKLM\...\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe [648072 2007-05-31] (Microsoft Corporation)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [937920 2011-06-06] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [] [x]
HKLM\...\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" [1564872 2012-06-06] (Ask)
HKU\Bernd Preußer\...\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 [1828136 2008-02-28] (Nero AG)
HKU\Bernd Preußer\...\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\Bernd Preußer\...\Run: [Device Detection] C:\Program Files\Lidl_Fotos\dd.exe [800704 2012-10-12] ()
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Startup: C:\Users\All Users\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.285\SSScheduler.exe (McAfee, Inc.)

==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [136360 2011-04-27] (Avira GmbH)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [269480 2011-07-02] (Avira GmbH)
2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe /DisableUI [1253376 2009-08-27] (MAGIX AG)
3 FirebirdServerMAGIXInstance; "C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe" [3276800 2008-08-07] (MAGIX®)
3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.0.285\McCHSvc.exe" [234776 2012-09-05] (McAfee, Inc.)
2 SBSDWSCService; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
2 Winmgmt; C:\Users\BERNDP~1\AppData\Local\Temp\DCdJOya.exe [168448 2013-01-24] ()
2 MSSQL$MSSMLBIZ; "c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [x]
4 MSSQLServerADHelper; "c:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [x]
4 SQLBrowser; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe" [x]
3 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [x]

==================== Drivers (Whitelisted) ====================

2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-07-02] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-07-02] (Avira GmbH)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2009-05-11] (Avira GmbH)
3 VIAHdAudAddService; C:\Windows\System32\drivers\viahduaa.sys [1067008 2009-07-10] (VIA Technologies, Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-01-26 20:52 - 2013-01-26 20:52 - 00000000 ____D C:\FRST
2013-01-25 23:15 - 2013-01-25 23:41 - 00063430 ____A C:\OTL.Txt
2013-01-24 12:11 - 2013-01-24 12:11 - 00000316 ____A C:\Windows\PFRO.log
2013-01-24 11:01 - 2013-01-26 15:01 - 95023320 ___AT C:\Users\All Users\ayOJdCD.pad
2013-01-24 11:01 - 2013-01-24 11:01 - 00003268 ____A C:\Users\All Users\ayOJdCD.js
2013-01-22 18:42 - 2013-01-22 18:42 - 04010439 ____A C:\Users\Bernd Preußer\Downloads\escapando da morte.wmv
2013-01-21 18:54 - 2013-01-21 18:54 - 00003584 ____A C:\Users\Bernd Preußer\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-01-16 10:39 - 2013-01-26 15:00 - 00003102 ____A C:\Windows\setupact.log
2013-01-16 10:39 - 2013-01-16 10:39 - 00000000 ____A C:\Windows\setuperr.log
2013-01-13 09:43 - 2012-12-07 13:26 - 00308736 ____A (Microsoft Corporation) C:\Windows\System32\Wpc.dll
2013-01-13 09:43 - 2012-12-07 13:20 - 02576384 ____A (Microsoft Corporation) C:\Windows\System32\gameux.dll
2013-01-13 09:43 - 2012-12-07 11:46 - 00055296 ____A (Microsoft) C:\Windows\System32\cero.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00051712 ____A (Microsoft) C:\Windows\System32\esrb.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00046592 ____A (Microsoft) C:\Windows\System32\fpb.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00045568 ____A (Microsoft) C:\Windows\System32\oflc-nz.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00044544 ____A (Microsoft) C:\Windows\System32\pegibbfc.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00043520 ____A (Microsoft) C:\Windows\System32\csrr.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00040960 ____A (Microsoft) C:\Windows\System32\cob-au.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00030720 ____A (Microsoft) C:\Windows\System32\usk.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00023552 ____A (Microsoft) C:\Windows\System32\oflc.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00021504 ____A (Microsoft) C:\Windows\System32\grb.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-pt.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-fi.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi.rs
2013-01-13 09:43 - 2012-12-07 11:46 - 00015360 ____A (Microsoft) C:\Windows\System32\djctq.rs
2013-01-13 09:43 - 2012-11-30 05:53 - 00169984 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2013-01-13 09:43 - 2012-11-30 05:47 - 00868352 ____A (Microsoft Corporation) C:\Windows\System32\kernel32.dll
2013-01-13 09:43 - 2012-11-30 05:47 - 00293376 ____A (Microsoft Corporation) C:\Windows\System32\KernelBase.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00005120 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:55 - 00271360 ____A (Microsoft Corporation) C:\Windows\System32\conhost.exe
2013-01-13 09:43 - 2012-11-30 03:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 03:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
2013-01-13 09:43 - 2012-11-30 00:17 - 00420064 ____A C:\Windows\System32\locale.nls
2013-01-13 09:43 - 2012-11-23 03:56 - 02345984 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-01-13 09:43 - 2012-11-23 03:48 - 00049152 ____A (Microsoft Corporation) C:\Windows\System32\taskhost.exe
2013-01-13 09:43 - 2012-11-22 05:45 - 00626688 ____A (Microsoft Corporation) C:\Windows\System32\usp10.dll
2013-01-13 09:43 - 2012-11-20 05:51 - 00220160 ____A (Microsoft Corporation) C:\Windows\System32\ncrypt.dll
2013-01-13 09:43 - 2012-11-09 05:43 - 00492032 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-01-13 09:43 - 2012-11-01 05:47 - 01389568 ____A (Microsoft Corporation) C:\Windows\System32\msxml6.dll
2012-12-27 20:50 - 2012-12-27 20:50 - 00032916 ____A C:\Users\Bernd Preußer\Downloads\html-1.2.html

==================== One Month Modified Files and Folders ========

2013-01-26 20:52 - 2013-01-26 20:52 - 00000000 ____D C:\FRST
2013-01-26 15:01 - 2013-01-24 11:01 - 95023320 ___AT C:\Users\All Users\ayOJdCD.pad
2013-01-26 15:01 - 2010-07-12 11:31 - 00001108 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-01-26 15:00 - 2013-01-16 10:39 - 00003102 ____A C:\Windows\setupact.log
2013-01-26 15:00 - 2009-10-26 17:22 - 00000000 ____D C:\Users\All Users\NVIDIA
2013-01-26 15:00 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-01-25 23:41 - 2013-01-25 23:15 - 00063430 ____A C:\OTL.Txt
2013-01-25 23:12 - 2010-05-28 10:47 - 00000000 ____D C:\users\Bernd Preußer
2013-01-25 14:14 - 2011-05-16 07:09 - 01632043 ____A C:\Windows\WindowsUpdate.log
2013-01-25 13:51 - 2009-07-14 05:34 - 00015120 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-01-25 13:51 - 2009-07-14 05:34 - 00015120 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-01-25 13:43 - 2012-06-16 09:43 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-01-25 09:31 - 2010-07-12 11:31 - 00001112 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-01-24 12:11 - 2013-01-24 12:11 - 00000316 ____A C:\Windows\PFRO.log
2013-01-24 11:01 - 2013-01-24 11:01 - 00003268 ____A C:\Users\All Users\ayOJdCD.js
2013-01-24 10:34 - 2009-10-21 07:26 - 01673554 ____A C:\Windows\System32\PerfStringBackup.INI
2013-01-22 18:42 - 2013-01-22 18:42 - 04010439 ____A C:\Users\Bernd Preußer\Downloads\escapando da morte.wmv
2013-01-21 18:57 - 2011-02-26 18:43 - 00000132 ____A C:\Users\Bernd Preußer\AppData\default.pls
2013-01-21 18:54 - 2013-01-21 18:54 - 00003584 ____A C:\Users\Bernd Preußer\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-01-16 10:39 - 2013-01-16 10:39 - 00000000 ____A C:\Windows\setuperr.log
2013-01-15 12:02 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-01-15 11:41 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-01-13 17:32 - 2009-07-14 05:33 - 00437888 ____A C:\Windows\System32\FNTCACHE.DAT
2013-01-13 17:31 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-01-13 10:45 - 2009-10-21 07:43 - 65273848 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-01-13 10:26 - 2012-06-16 09:43 - 00697864 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-01-13 10:26 - 2011-06-15 18:22 - 00074248 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-01-13 10:08 - 2011-01-12 17:06 - 00024064 ____A C:\Users\Bernd Preußer\Documents\Passwörter.xls
2012-12-31 17:41 - 2009-07-14 05:53 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2012-12-27 22:11 - 2012-11-02 21:58 - 366994576 ____A C:\Users\Bernd Preußer\Aldi Fotobuch 2.cpr
2012-12-27 20:50 - 2012-12-27 20:50 - 00032916 ____A C:\Users\Bernd Preußer\Downloads\html-1.2.html

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================


==================== Memory info ===========================

Percentage of memory in use: 21%
Total physical RAM: 1791.3 MB
Available physical RAM: 1410.3 MB
Total Pagefile: 1791.3 MB
Available Pagefile: 1404.96 MB
Total Virtual: 2047.88 MB
Available Virtual: 1961.95 MB

==================== Partitions =============================

1 Drive c: (System) (Fixed) (Total:97.66 GB) (Free:61.73 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: (Daten) (Fixed) (Total:51.39 GB) (Free:48.48 GB) NTFS
4 Drive f: (CORSAIR) (Removable) (Total:15.11 GB) (Free:6.05 GB) FAT32
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 149 GB 0 B
Datentr„ger 1 Online 15 GB 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 3DCC9CFC

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 97 GB 31 KB
Partition 2 Prim„r 51 GB 97 GB

=========================================================

Disk: 0
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 C System NTFS Partition 97 GB Fehlerfre

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 D Daten NTFS Partition 51 GB Fehlerfre

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 D Daten NTFS Partition 51 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: 04DD5721

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 15 GB 31 KB

=========================================================

Disk: 1
Partition 1
Typ : 0C
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F CORSAIR FAT32 Wechselmed 15 GB Fehlerfre

=========================================================

Disk: 1
Partition 1
Typ : 0C
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F CORSAIR FAT32 Wechselmed 15 GB Fehlerfre

=========================================================

Last Boot: 2013-01-24 08:31

==================== End Of Log ============================
Angehängte Dateien
Dateityp: txt FRST.txt (18,1 KB, 150x aufgerufen)

Alt 27.01.2013, 19:48   #8
aharonov
/// TB-Ausbilder
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Bernd,

das FRST-Log war angekommen, ja, tut mir Leid für die Verzögerung.
Im Schritt 1 versuchen wir, den Sperrbildschirm zu entfernen. Danach solltest du den Rechner wieder wie gewohnt in den normalen Modus starten und die nächsten Schritte dort ausführen können.


Schritt 1

Bereite auf einem Zweitrechner das Fixskript vor:

Drücke dazu bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Code:
ATTFilter
DisableService: Winmgmt
C:\Users\BERNDP~1\AppData\Local\Temp\DCdJOya.exe
2013-01-24 11:01 - 2013-01-26 15:01 - 95023320 ___AT C:\Users\All Users\ayOJdCD.pad
2013-01-24 11:01 - 2013-01-24 11:01 - 00003268 ____A C:\Users\All Users\ayOJdCD.js
         
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick, wo die FRST.exe liegt.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum die FRST.exe, aber klicke dieses Mal auf den Fix Button.
  • Danach starte den Rechner neu auf in den normalen Modus.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.




Führe folgende Schritte nur durch, wenn du wieder normal ohne den Sperrbildschirm in den normalen Modus booten konntest. Ansonsten brich hier ab und melde das.

Schritt 2

Bei dir läuft der Teatimer von Spybot Search&Destroy.
Mit laufendem TeaTimer lässt sich keine Bereinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Bereinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Bereinigung fertig sind, und stelle ihn erst danach wieder ein.):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schliessen => Rechner neu starten. Bebilderte Anleitung.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Kopiere bitte den Inhalt aus der Codebox in die Textbox.
    Code:
    ATTFilter
    regsvr32 wmisvc.dll /c
             
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von FRST
  • Logs von OTL
__________________
cheers,
Leo

Alt 27.01.2013, 20:30   #9
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 21-01-2013 02
Ran by SYSTEM at 2013-01-27 21:22:13 Run:1
Running from F:\

==============================================

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Winmgmt was disabled
C:\Users\BERNDP~1\AppData\Local\Temp\DCdJOya.exe moved successfully.
C:\Users\All Users\ayOJdCD.pad moved successfully.
C:\Users\All Users\ayOJdCD.js moved successfully.

==== End of Fixlog ====

Alt 27.01.2013, 20:34   #10
aharonov
/// TB-Ausbilder
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Das sieht schon mal gut aus.
Ist der Sperrbildschirm jetzt weg? Dann kannst du im normalen Modus noch die Schritte 2 und 3 durchführen.
__________________
cheers,
Leo

Alt 27.01.2013, 21:06   #11
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 27.01.2013 21:49:02 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Bernd Preußer\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,75 Gb Total Physical Memory | 1,06 Gb Available Physical Memory | 60,72% Memory free
3,50 Gb Paging File | 2,45 Gb Available in Paging File | 70,07% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 97,66 Gb Total Space | 61,70 Gb Free Space | 63,18% Space Free | Partition Type: NTFS
Drive D: | 51,39 Gb Total Space | 48,48 Gb Free Space | 94,34% Space Free | Partition Type: NTFS
 
Computer Name: BERNDPREUßER-PC | User Name: Bernd Preußer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.27 21:44:54 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd Preußer\Desktop\OTL.exe
PRC - [2013.01.13 10:26:50 | 001,808,392 | ---- | M] (Adobe Systems, Inc.) -- C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_11_5_502_146.exe
PRC - [2012.11.30 03:55:25 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2012.11.23 03:48:41 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2012.09.05 16:57:26 | 000,271,808 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Security Scan\3.0.285\SSScheduler.exe
PRC - [2012.06.20 17:56:51 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2012.06.06 20:33:42 | 001,564,872 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe
PRC - [2011.07.02 14:07:55 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011.04.27 16:28:55 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.11.20 03:17:58 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2010.11.20 03:16:56 | 000,100,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\audiodg.exe
PRC - [2010.11.04 07:35:34 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) -- C:\Programme\Common Files\MAGIX Services\Database\bin\FABS.exe
PRC - [2009.07.14 12:28:00 | 000,239,648 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2008.02.28 16:07:58 | 001,828,136 | ---- | M] (Nero AG) -- C:\Programme\Common Files\Nero\Lib\NMIndexStoreSvr.exe
PRC - [2008.02.18 15:29:02 | 002,221,352 | ---- | M] (Nero AG) -- C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
PRC - [2006.10.26 23:47:42 | 000,031,016 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
PRC - [2006.04.14 09:07:20 | 028,933,976 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.01.13 10:26:50 | 014,586,888 | ---- | M] () -- C:\Windows\System32\Macromed\Flash\NPSWF32_11_5_502_146.dll
MOD - [2012.06.20 17:56:50 | 002,042,848 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\Users\BERNDP~1\AppData\Local\Temp\DCdJOya.exe -- (Winmgmt)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SBSDWSCService)
SRV - [2013.01.13 10:26:53 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.09.05 16:56:44 | 000,234,776 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\3.0.285\McCHSvc.exe -- (McComponentHostService)
SRV - [2012.06.20 17:56:50 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011.07.02 14:07:55 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.04.27 16:28:55 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.11.20 03:17:58 | 001,121,792 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2009.07.14 12:28:00 | 000,239,648 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.08.07 11:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Common Files\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2007.05.31 15:21:24 | 000,379,784 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm)
SRV - [2007.05.31 15:21:18 | 000,183,688 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr)
SRV - [2006.10.26 23:47:54 | 000,065,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe -- (Microsoft Office Groove Audit Service)
SRV - [2006.10.26 18:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.04.14 09:07:20 | 028,933,976 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -- (MSSQL$MSSMLBIZ)
SRV - [2006.04.14 09:05:58 | 000,240,416 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe -- (SQLBrowser)
SRV - [2006.04.14 09:04:54 | 000,087,840 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter)
SRV - [2005.10.14 02:50:20 | 000,045,272 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe -- (MSSQLServerADHelper)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.02 14:07:55 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.02 14:07:55 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.11.20 01:24:42 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 00:59:46 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009.08.04 17:43:40 | 000,213,024 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2009.07.13 23:02:52 | 000,347,264 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nvm62x32.sys -- (NVENETFD)
DRV - [2009.07.10 11:04:42 | 001,067,008 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV - [2009.06.10 22:19:48 | 009,853,248 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.04.30 12:06:56 | 000,287,008 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmf6232.sys -- (NVNET)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Upgrade to Google Chrome
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Upgrade to Google Chrome
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Web search
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 09 C4 A9 2F 4D FE CA 01  [binary data]
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Upgrade to Google Chrome
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\..\SearchScopes,DefaultScope = {9BEF2A3D-E2EC-43B5-B768-8CB83B6C5914}
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\..\SearchScopes\{0650A404-9CBA-4253-A187-299ADD5472BC}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\..\SearchScopes\{5B5794DC-B863-410B-A8FB-F7CCC237E097}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYDE&apn_uid=F37AA4AB-2C07-4024-8741-0E1F2F357EEF&apn_sauid=70DB8434-8983-4D8F-A509-880141AF9830
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searcerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\..\SearchScopes\{9BEF2A3D-E2EC-43B5-B768-8CB83B6C5914}: "URL" = hxxp://search.softonic.com/MON00015/tb_v1?q={searchTerms}&SearchSource=4&cc=
IE - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledAddons: ffxtlbra@softonic.com:1.5.0
FF - prefs.js..extensions.enabledAddons: coralietab@mozdev.org:2.04.20110724
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}:6.0.29
FF - prefs.js..keyword.URL: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=de_DE&apn_uid=F37AA4AB-2C07-4024-8741-0E1F2F357EEF&apn_ptnrs=U3&apn_sauid=70DB8434-8983-4D8F-A509-880141AF9830&apn_dtid=YYYYYYYYDE&&q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.06.20 17:56:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.09.23 21:50:57 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\Bernd Preußer\AppData\Roaming\13001.020 [2012.07.09 16:13:25 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.06.20 17:56:51 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.09.23 21:50:57 | 000,000,000 | ---D | M]
 
[2010.05.31 14:22:18 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd Preußer\AppData\Roaming\mozilla\Extensions
[2012.09.25 17:58:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bernd Preußer\AppData\Roaming\mozilla\Firefox\Profiles\kpsllbfc.default\extensions
[2012.06.24 16:23:17 | 000,000,000 | ---D | M] (IMinent Toolbar) -- C:\Users\Bernd Preußer\AppData\Roaming\mozilla\Firefox\Profiles\kpsllbfc.default\extensions\{C9B68337-E93A-44EA-94DC-CB300EC06444}
[2012.06.24 16:01:10 | 000,000,000 | ---D | M] (IE Tab +) -- C:\Users\Bernd Preußer\AppData\Roaming\mozilla\Firefox\Profiles\kpsllbfc.default\extensions\coralietab@mozdev.org
[2012.05.31 10:21:18 | 000,000,000 | ---D | M] (softonic.com) -- C:\Users\Bernd Preußer\AppData\Roaming\mozilla\Firefox\Profiles\kpsllbfc.default\extensions\ffxtlbra@softonic.com
[2012.09.25 17:50:11 | 000,002,396 | ---- | M] () -- C:\Users\Bernd Preußer\AppData\Roaming\mozilla\firefox\profiles\kpsllbfc.default\searchplugins\askcom.xml
[2012.05.31 10:20:32 | 000,002,060 | ---- | M] () -- C:\Users\Bernd Preußer\AppData\Roaming\mozilla\firefox\profiles\kpsllbfc.default\searchplugins\softonic.xml
[2012.05.21 18:45:29 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- C:\USERS\BERND PREUßER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KPSLLBFC.DEFAULT\EXTENSIONS\CORALIETAB@MOZDEV.ORG
File not found (No name found) -- C:\USERS\BERND PREUßER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KPSLLBFC.DEFAULT\EXTENSIONS\FFXTLBRA@SOFTONIC.COM
[2012.06.20 17:56:51 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.06.16 16:49:31 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.06.16 16:49:31 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.06.16 16:49:31 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.16 16:49:31 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.16 16:49:31 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.16 16:49:31 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: Google
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}
CHR - homepage: Google
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\24.0.1312.56\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Java Deployment Toolkit 6.0.240.7 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: 2007 Microsoft Office system (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPOFF12.DLL
CHR - plugin: Chrome NaCl (Enabled) = C:\Program Files\Google\Chrome\Application\24.0.1312.56\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\24.0.1312.56\pdf.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.57\npGoogleUpdate3.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Programme\IMinent Toolbar\tbcore3.dll ()
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Programme\IMinent Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\..\Toolbar\WebBrowser: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Programme\IMinent Toolbar\tbcore3.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
O4 - HKLM..\Run: [NBKeyScan] C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004..\Run: [Device Detection] C:\Programme\Lidl_Fotos\dd.exe ()
O4 - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe (Nero AG)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 10.9.2)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 10.9.2)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4B1C8DBF-ACA9-4E78-A1A5-F9752BA48858}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{22c9c34f-ae11-11e0-bf43-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{22c9c34f-ae11-11e0-bf43-806e6f6e6963}\Shell\AutoRun\command - "" = "G:\WD SmartWare.exe" autoplay=true
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.27 21:44:49 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Bernd Preußer\Desktop\OTL.exe
[2013.01.26 20:52:13 | 000,000,000 | ---D | C] -- C:\FRST
[2013.01.13 09:43:51 | 000,271,360 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
[2013.01.13 09:43:51 | 000,169,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\winsrv.dll
[2013.01.13 09:43:50 | 000,006,144 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
[2013.01.13 09:43:50 | 000,005,120 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
[2013.01.13 09:43:50 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
[2013.01.13 09:43:50 | 000,004,608 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
[2013.01.13 09:43:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
[2013.01.13 09:43:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
[2013.01.13 09:43:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
[2013.01.13 09:43:50 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
[2013.01.13 09:43:50 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
[2013.01.13 09:43:49 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
[2013.01.13 09:43:49 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
[2013.01.13 09:43:42 | 002,345,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.01.13 09:43:23 | 002,576,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\gameux.dll
[2013.01.13 09:43:23 | 000,308,736 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\Wpc.dll
[2013.01.13 09:43:23 | 000,046,592 | ---- | C] (Microsoft) -- C:\Windows\System32\fpb.rs
[2013.01.13 09:43:23 | 000,045,568 | ---- | C] (Microsoft) -- C:\Windows\System32\oflc-nz.rs
[2013.01.13 09:43:23 | 000,044,544 | ---- | C] (Microsoft) -- C:\Windows\System32\pegibbfc.rs
[2013.01.13 09:43:23 | 000,043,520 | ---- | C] (Microsoft) -- C:\Windows\System32\csrr.rs
[2013.01.13 09:43:23 | 000,040,960 | ---- | C] (Microsoft) -- C:\Windows\System32\cob-au.rs
[2013.01.13 09:43:23 | 000,030,720 | ---- | C] (Microsoft) -- C:\Windows\System32\usk.rs
[2013.01.13 09:43:23 | 000,021,504 | ---- | C] (Microsoft) -- C:\Windows\System32\grb.rs
[2013.01.13 09:43:23 | 000,020,480 | ---- | C] (Microsoft) -- C:\Windows\System32\pegi-pt.rs
[2013.01.13 09:43:23 | 000,020,480 | ---- | C] (Microsoft) -- C:\Windows\System32\pegi.rs
[2013.01.13 09:43:23 | 000,015,360 | ---- | C] (Microsoft) -- C:\Windows\System32\djctq.rs
[2013.01.13 09:43:22 | 000,055,296 | ---- | C] (Microsoft) -- C:\Windows\System32\cero.rs
[2013.01.13 09:43:22 | 000,051,712 | ---- | C] (Microsoft) -- C:\Windows\System32\esrb.rs
[2013.01.13 09:43:22 | 000,023,552 | ---- | C] (Microsoft) -- C:\Windows\System32\oflc.rs
[2013.01.13 09:43:22 | 000,020,480 | ---- | C] (Microsoft) -- C:\Windows\System32\pegi-fi.rs
[2013.01.13 09:43:15 | 000,220,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ncrypt.dll
[2013.01.13 09:43:15 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
[1 C:\Users\Bernd Preußer\AppData\Roaming\*.tmp files -> C:\Users\Bernd Preußer\AppData\Roaming\*.tmp -> ]
[1 C:\Users\Bernd Preußer\AppData\Local\*.tmp files -> C:\Users\Bernd Preußer\AppData\Local\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.27 21:45:37 | 000,015,120 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.01.27 21:45:37 | 000,015,120 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.01.27 21:44:54 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bernd Preußer\Desktop\OTL.exe
[2013.01.27 21:42:10 | 000,161,992 | ---- | M] () -- C:\Users\Bernd Preußer\Desktop\7ZipSetup.exe
[2013.01.27 21:38:29 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.01.27 21:37:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.01.27 21:37:53 | 1408,737,280 | -HS- | M] () -- C:\hiberfil.sys
[2013.01.27 21:31:01 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.01.27 21:26:04 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013.01.24 11:01:23 | 000,001,087 | ---- | M] () -- C:\Users\Bernd Preußer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013.01.24 10:34:04 | 000,725,494 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.01.24 10:34:04 | 000,666,824 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.01.24 10:34:04 | 000,157,898 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.01.24 10:34:04 | 000,127,826 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.01.21 18:54:15 | 000,003,584 | ---- | M] () -- C:\Users\Bernd Preußer\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.13 17:32:37 | 000,437,888 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.01.13 10:26:50 | 000,697,864 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2013.01.13 10:26:50 | 000,074,248 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[1 C:\Users\Bernd Preußer\AppData\Roaming\*.tmp files -> C:\Users\Bernd Preußer\AppData\Roaming\*.tmp -> ]
[1 C:\Users\Bernd Preußer\AppData\Local\*.tmp files -> C:\Users\Bernd Preußer\AppData\Local\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.27 21:42:08 | 000,161,992 | ---- | C] () -- C:\Users\Bernd Preußer\Desktop\7ZipSetup.exe
[2013.01.24 11:01:23 | 000,001,087 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013.01.21 18:54:15 | 000,003,584 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.11.02 21:58:08 | 366,994,576 | ---- | C] () -- C:\Users\Bernd Preußer\Aldi Fotobuch 2.cpr
[2012.10.31 23:48:08 | 150,603,199 | ---- | C] () -- C:\Users\Bernd Preußer\Aldi Fotobuch 2010.cpr
[2012.07.09 16:13:15 | 000,000,051 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Roaming\blckdom.res
[2012.05.31 10:24:50 | 000,000,069 | ---- | C] () -- C:\Windows\NeroDigital.ini
[2012.05.21 07:22:41 | 000,000,005 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Roaming\mbam.context.scan
[2011.08.17 20:09:58 | 005,464,347 | ---- | C] () -- C:\Users\Bernd Preußer\sar.cpr
[2011.07.19 08:26:23 | 000,000,000 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Local\{3D3C6C27-AE3A-4D13-8FAD-DBA3C3B9E2BD}
[2011.07.18 10:30:31 | 000,000,000 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Local\{BA7A013B-05FB-4236-8B79-276F0068A25E}
[2011.07.15 16:44:43 | 000,000,000 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Local\{4CD2A015-460A-42CB-B746-0EC6964C3D45}
[2011.06.18 10:39:28 | 000,000,000 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Local\{00A30EA0-E14E-48E9-8D92-A7BB7AC163A2}
[2011.06.15 23:04:49 | 501,543,626 | ---- | C] () -- C:\Users\Bernd Preußer\Fotobuch Sardinien.cpr
[2010.08.13 17:38:38 | 001,456,640 | ---- | C] () -- C:\Program Files\Common Files\Falk Navi-Manager.msi
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 03:19:04 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Custom Scans ==========
 
< regsvr32 wmisvc.dll /c >
No captured output from command...

< End of report >
         
--- --- ---
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 21-01-2013 02
Ran by SYSTEM at 2013-01-27 21:22:13 Run:1
Running from F:\

==============================================

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Winmgmt was disabled
C:\Users\BERNDP~1\AppData\Local\Temp\DCdJOya.exe moved successfully.
C:\Users\All Users\ayOJdCD.pad moved successfully.
C:\Users\All Users\ayOJdCD.js moved successfully.

==== End of Fixlog ====

Alt 27.01.2013, 21:17   #12
aharonov
/// TB-Ausbilder
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Bernd,

das Tool OTL sollte auch noch ein zweites Log-File (Extras.txt) erstellt haben. Kannst du dieses bitte auch noch hier einfügen? Danke.
__________________
cheers,
Leo

Alt 27.01.2013, 21:25   #13
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Leo, dauert halt alles ein bisschen. Bin nicht so fit mit PC.OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 27.01.2013 21:49:02 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Bernd Preußer\Desktop
 Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,75 Gb Total Physical Memory | 1,06 Gb Available Physical Memory | 60,72% Memory free
3,50 Gb Paging File | 2,45 Gb Available in Paging File | 70,07% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 97,66 Gb Total Space | 61,70 Gb Free Space | 63,18% Space Free | Partition Type: NTFS
Drive D: | 51,39 Gb Total Space | 48,48 Gb Free Space | 94,34% Space Free | Partition Type: NTFS
 
Computer Name: BERNDPREUßER-PC | User Name: Bernd Preußer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0ACE6A0F-FE3B-4B61-8DB6-509EA3807996}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{1A0E697B-4E54-41A1-843E-B66441437FD3}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{20ADB076-95F7-4DD0-BF40-40F46191FE9F}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{2573115C-2070-4B9D-88A1-A1B0A38B729C}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{27353D76-6820-4846-BFC8-1A3F2F492627}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{39C390DD-FA95-4857-BED1-3B81080DF5EA}" = rport=445 | protocol=6 | dir=out | app=system | 
"{527843B1-661F-47CB-BAA4-D8DB7F0A4C2C}" = lport=445 | protocol=6 | dir=in | app=system | 
"{5BE4E227-4335-4F13-B867-D4CA93024048}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{635C203A-558F-4E7B-B4D7-23D36F412582}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{68FFE457-6A38-48BA-905C-912F6FBAC211}" = lport=138 | protocol=17 | dir=in | app=system | 
"{6E0FBD2F-E8B4-41C5-95EF-7C81FCF08CCD}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{6EB5CB08-7759-46F2-82DE-F2438656950C}" = lport=139 | protocol=6 | dir=in | app=system | 
"{79A82616-69DD-496D-AA69-C709E64319D5}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe | 
"{8E6F5186-3EAB-4893-95BD-5E187B2E17C7}" = lport=137 | protocol=17 | dir=in | app=system | 
"{979C0D01-8008-4E1B-95A4-1EC72D485431}" = rport=138 | protocol=17 | dir=out | app=system | 
"{AEC92672-BB54-4FAE-B382-5695C3BE4C81}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{B4B1DE6B-10C4-4339-9D37-CD5DBD13391A}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{BCE8CBC8-4ADB-4916-B306-152FF31ED67B}" = rport=137 | protocol=17 | dir=out | app=system | 
"{C249D79E-FC39-4B9F-A135-15554B6C5219}" = rport=139 | protocol=6 | dir=out | app=system | 
"{C2DD81AE-F684-4B03-96C9-1DE0CD87830A}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{C4133518-E10B-456E-B56B-856BDDFA6323}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{D9737678-182C-4842-8639-16505C1F07A9}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{E5D12420-590A-4156-8300-AE3431C9692B}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{F579AECF-DD96-4AD3-BC1F-0CB1733D5667}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0A9A55E5-F042-489C-B2B1-00A848286895}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{0C6FD3F9-9877-4ACB-8EFA-4977B863B61F}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{0F1BE4CA-ECFD-4905-B063-3D8D5B0A8ABD}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{1138FAF0-1F2E-42DD-BBBC-E682B9415171}" = protocol=6 | dir=out | svc=wcescomm | app=%systemroot%\system32\svchost.exe | 
"{13080F06-EF8D-43DA-A1BB-CC163A5A100E}" = protocol=6 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{30B7BED7-1B44-4E22-9A5B-A4A0966B11CD}" = protocol=17 | dir=out | svc=wcescomm | app=%systemroot%\system32\svchost.exe | 
"{3A12C80E-4852-4FE9-A674-67F64612D478}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{3F3B20B8-E438-4B6E-91CE-F0077D70FF94}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{45E68AF9-1AF8-4DAC-A21A-391A87418F71}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{4EABA607-C073-40FA-BCF1-D2D76D9CE214}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{63815619-B039-4336-9E48-43E924C8DA5D}" = protocol=6 | dir=in | svc=wcescomm | app=%systemroot%\system32\svchost.exe | 
"{6DDF329C-B378-4E17-919C-A41449524D04}" = protocol=6 | dir=out | app=system | 
"{6E5B136B-2CA9-4FF8-96FF-3C183A11D819}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{7E86ACCC-34D2-402D-90A7-A63A8602ED27}" = protocol=17 | dir=out | svc=wcescomm | app=%systemroot%\system32\svchost.exe | 
"{86F80CCA-A321-4894-8356-33626F26C7E6}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{9010482E-289D-4DC3-B397-AEA46FDEFCCD}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{90631F34-D075-44B8-9833-1AC8C64DAAF6}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{90C9015E-FFE2-4B58-A86E-2E4C14065C73}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{9668ACDE-C779-40B4-911D-254E54F94D71}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{9D383CAA-7CC5-422A-9787-EC98F272DBE9}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{A46E3D44-26C7-465F-A35B-4CF933F5F377}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{B0E9E443-458E-417C-8FC8-579240BEAEFD}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{BA23DFE2-F9C0-4663-BB52-DE2FEBDB42D9}" = protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{C87DD1A6-82F3-4D33-B40D-CA98A978B964}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{CF59CB94-9BFE-494A-9012-EA3C45EB3E7B}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{D7246D42-ED73-43DB-B8B6-1C866DDFF12B}" = protocol=17 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{E5E5A307-1497-41CD-B5C7-2B44699DD178}" = protocol=6 | dir=out | svc=rapimgr | app=%systemroot%\system32\svchost.exe | 
"{F2410AE8-D01C-458C-8BA2-E4BB2AE72849}" = protocol=6 | dir=in | svc=wcescomm | app=%systemroot%\system32\svchost.exe | 
"{F9FD7BC0-DC71-4D38-88D0-4A1DCE40F4A6}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{FDEDAFD2-F3F0-4FA3-929E-6594ECCA7F04}" = protocol=6 | dir=out | svc=wcescomm | app=%systemroot%\system32\svchost.exe | 
"TCP Query User{38047650-03D7-4ADA-8845-F21FB6F42BDC}C:\program files\google\google earth\client\googleearth.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | 
"TCP Query User{71FDAB8A-C838-4475-9804-F8BFB5D56DC2}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 
"TCP Query User{7B5A4199-4C22-475E-A914-4B5CD63297BE}C:\program files\microsoft office\office12\groove.exe" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"TCP Query User{AA437ECC-6743-4A6D-B21F-9868A7DF817F}C:\users\bernd preußer\appdata\roaming\spotify\spotify.exe" = protocol=6 | dir=in | app=c:\users\bernd preusser\appdata\roaming\spotify\spotify.exe | 
"TCP Query User{DD4E919A-5370-4B84-8644-355E18047A9A}C:\users\bernd preußer\appdata\roaming\spotify\spotify.exe" = protocol=6 | dir=in | app=c:\users\bernd preusser\appdata\roaming\spotify\spotify.exe | 
"UDP Query User{137DC10F-B5F1-459A-B9DC-D2BC877F6DBE}C:\users\bernd preußer\appdata\roaming\spotify\spotify.exe" = protocol=17 | dir=in | app=c:\users\bernd preusser\appdata\roaming\spotify\spotify.exe | 
"UDP Query User{731ABD34-10AE-4FE2-A809-E0BF0D184276}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 
"UDP Query User{DB923F93-8C58-41B2-87DC-1530F7414031}C:\program files\microsoft office\office12\groove.exe" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"UDP Query User{DD7FB971-AAA0-4891-8BD4-F175C5890A51}C:\program files\google\google earth\client\googleearth.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\client\googleearth.exe | 
"UDP Query User{FBCC3C36-2E50-4FAD-A11C-3F1160223C50}C:\users\bernd preußer\appdata\roaming\spotify\spotify.exe" = protocol=17 | dir=in | app=c:\users\bernd preusser\appdata\roaming\spotify\spotify.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{1111706F-666A-4037-7777-210328764D10}" = JavaFX 2.1.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{2DFB5485-A3EF-4298-9280-4AF80C9F4BE9}" = Microsoft SQL Server VSS Writer
"{3222B0CE-59C5-4CA0-B545-2B88F200756B}" = Falk Navi-Manager
"{34EB6245-C8D0-4D8A-B8D8-EEBFF7A91485}" = Firebird SQL Server - MAGIX Edition
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007 SP1
"{50120000-1105-0000-0000-0000000FF1CE}" = Microsoft Office 2007 Primary Interop Assemblies
"{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}" = Microsoft SQL Server Native Client
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7B3F0113-E63C-4D6D-AF19-111A3165CCA2}" = Text-To-Speech-Runtime
"{80CCA55B-FCA8-47E2-9BFE-A24CDEE51033}" = SecurDisc Viewer
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{904CCF62-818D-4675-BC76-D37EB399F917}" = Windows Mobile-Gerätecenter
"{90A40407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Web Components
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}" = IMinent Toolbar
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BC5AB595-ABEA-42D3-BD4F-C8014EB20F2B}" = Falk Navi-Manager
"{CDC7F188-3A08-45C3-8C3C-99BE32911949}" = Photo Transport
"{F0AAE3C5-D70C-4F3C-8B6A-EC3992921033}" = Nero 8 Essentials
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"ALDI Bestellsoftware" = ALDI Bestellsoftware 4.12.2
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Business Contact Manager" = Business Contact Manager für Outlook 2007 SP1
"ElsterFormular 13.1.1.8531u" = ElsterFormular
"ElsterFormular für Unternehmer 12.2.2.6665u" = ElsterFormular für Unternehmer
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Google Chrome" = Google Chrome
"IrfanView" = IrfanView (remove only)
"Lidl-Fotos_is1" = Lidl-Fotos
"MAGIX Music Maker Techno Edition 3 D" = MAGIX Music Maker Techno Edition 3 5.0.0.2 (D)
"MAGIX Speed burnR D" = MAGIX Speed burnR
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Picasa 3" = Picasa 3
"Sweet Home 3D_is1" = Sweet Home 3D version 3.5
"WordToPDF_is1" = WordToPDF 2.8
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1079022582-3489964279-3433121116-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
"Spotify" = Spotify
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 23.01.2013 10:27:12 | Computer Name = BerndPreußer-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\spybot
 - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der Wert "*" des "language"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 23.01.2013 10:32:21 | Computer Name = BerndPreußer-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 24.01.2013 03:33:00 | Computer Name = BerndPreußer-PC | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\spybot
 - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\spybot - search & destroy\DelZip179.dll" in Zeile 8.  Der Wert "*" des "language"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 24.01.2013 03:37:35 | Computer Name = BerndPreußer-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 24.01.2013 03:42:53 | Computer Name = BerndPreußer-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 25.01.2013 04:29:33 | Computer Name = BerndPreußer-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: dd.exe, Version: 1.14.0.2, Zeitstempel:
 0x2a425e19  Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b16  Ausnahmecode: 0x0eedfade  Fehleroffset: 0x0000812f  ID des fehlerhaften
 Prozesses: 0x69c  Startzeit der fehlerhaften Anwendung: 0x01cdfad5f4da84c0  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Lidl_Fotos\dd.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\KERNELBASE.dll  Berichtskennung: 580c50f0-66c9-11e2-802c-001966efc00f
 
Error - 25.01.2013 08:56:13 | Computer Name = BerndPreußer-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 26.01.2013 10:01:46 | Computer Name = BerndPreußer-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: dd.exe, Version: 1.14.0.2, Zeitstempel:
 0x2a425e19  Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b16  Ausnahmecode: 0x0eedfade  Fehleroffset: 0x0000812f  ID des fehlerhaften
 Prozesses: 0x654  Startzeit der fehlerhaften Anwendung: 0x01cdfbcd859709a0  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Lidl_Fotos\dd.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\KERNELBASE.dll  Berichtskennung: eb87bf20-67c0-11e2-aae9-001966efc00f
 
Error - 27.01.2013 16:23:45 | Computer Name = BerndPreußer-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: dd.exe, Version: 1.14.0.2, Zeitstempel:
 0x2a425e19  Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b16  Ausnahmecode: 0x0eedfade  Fehleroffset: 0x0000812f  ID des fehlerhaften
 Prozesses: 0x6e4  Startzeit der fehlerhaften Anwendung: 0x01cdfccc28a2b460  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Lidl_Fotos\dd.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\KERNELBASE.dll  Berichtskennung: 7242b9d0-68bf-11e2-bb37-001966efc00f
 
Error - 27.01.2013 16:38:21 | Computer Name = BerndPreußer-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: dd.exe, Version: 1.14.0.2, Zeitstempel:
 0x2a425e19  Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.1.7601.18015,
 Zeitstempel: 0x50b83b16  Ausnahmecode: 0x0eedfade  Fehleroffset: 0x0000812f  ID des fehlerhaften
 Prozesses: 0x730  Startzeit der fehlerhaften Anwendung: 0x01cdfcce3458b640  Pfad der
 fehlerhaften Anwendung: C:\Program Files\Lidl_Fotos\dd.exe  Pfad des fehlerhaften
 Moduls: C:\Windows\system32\KERNELBASE.dll  Berichtskennung: 7cd077f0-68c1-11e2-9f34-001966efc00f
 
[ Media Center Events ]
Error - 22.06.2010 16:34:40 | Computer Name = BerndPreußer-PC | Source = MCUpdate | ID = 0
Description = 22:34:40 - Fehler beim Herstellen der Internetverbindung.  22:34:40 
-     Serververbindung konnte nicht hergestellt werden..  
 
Error - 22.06.2010 16:34:49 | Computer Name = BerndPreußer-PC | Source = MCUpdate | ID = 0
Description = 22:34:46 - Fehler beim Herstellen der Internetverbindung.  22:34:46 
-     Serververbindung konnte nicht hergestellt werden..  
 
[ OSession Events ]
Error - 25.10.2011 15:36:29 | Computer Name = BerndPreußer-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 1266
 seconds with 1140 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 27.01.2013 16:23:28 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IP-Hilfsdienst" ist vom Dienst "Windows-Verwaltungsinstrumentation"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 27.01.2013 16:23:30 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Sicherheitscenter" ist vom Dienst "Windows-Verwaltungsinstrumentation"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 27.01.2013 16:23:30 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "SBSD Security Center Service" ist vom Dienst "Sicherheitscenter"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 27.01.2013 16:26:04 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7034
Description = Dienst "Google Update Service (gupdate)" wurde unerwartet beendet.
 Dies ist bereits 1 Mal passiert.
 
Error - 27.01.2013 16:26:05 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Sicherheitscenter" ist vom Dienst "Windows-Verwaltungsinstrumentation"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 27.01.2013 16:37:07 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7016
Description = Der Dienst "NVIDIA Display Driver Service" hat einen ungültigen aktuellen
 Status gemeldet: 32
 
Error - 27.01.2013 16:38:06 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IP-Hilfsdienst" ist vom Dienst "Windows-Verwaltungsinstrumentation"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 27.01.2013 16:38:07 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Sicherheitscenter" ist vom Dienst "Windows-Verwaltungsinstrumentation"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
Error - 27.01.2013 16:38:07 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "SBSD Security Center Service" ist vom Dienst "Sicherheitscenter"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 27.01.2013 16:40:34 | Computer Name = BerndPreußer-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Sicherheitscenter" ist vom Dienst "Windows-Verwaltungsinstrumentation"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1058
 
 
< End of report >
         
--- --- ---


Guten Tag Leo,
Ich habe das Mail verstanden.
Bei dem Starten von dem betroffenen PC kommen 2 Meldungen:

1. Problem beim Starten C:\BERNDP-1\App Data\Local\Temp\DCdjOya.exe
Das angegeben Modul wurde nicht gefunden
2. Excepition Excepition in module dd.exe at 00089B51 DM.C.

Gruß, Bernd

Alt 28.01.2013, 16:55   #14
aharonov
/// TB-Ausbilder
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Bernd,

sehr gut, der Sperrbildschirm ist also schon mal weg.
Es gibt aber noch ein paar Sachen zu tun:


Schritt 1
  • Klicke Start --> Systemsteuerung.
  • Öffne Programme und Funktionen.
  • Suche und deinstalliere folgende Einträge:
    • IMinent Toolbar
    • Ask Toolbar
  • Schliesse das Fenster.



Schritt 2
  • Starte bitte die OTL.exe.
  • Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
    Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.
Code:
ATTFilter
:OTL
[2013.01.24 11:01:23 | 000,001,087 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012.07.09 16:13:15 | 000,000,051 | ---- | C] () -- C:\Users\Bernd Preußer\AppData\Roaming\blckdom.res

:commands
[emptytemp]
         
  • Schliesse nun bitte alle anderen Programme.
  • Klicke jetzt auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
  • Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
    (Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  • Kopiere nun dessen Inhalt hier in deinen Thread.



Schritt 3

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 4

Starte bitte die OTL.exe.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von AdwCleaner
  • Fixlog von OTL
  • Log von OTL
__________________
cheers,
Leo

Alt 28.01.2013, 22:26   #15
BerndP13
 
GVU-Trojaner auch im abgesicherten Modus - Standard

GVU-Trojaner auch im abgesicherten Modus



Hallo Leo, In Schritt 1 soll ich ASK Toolbar deinstalieren. Es kommt die Meldung:
Schließen SIe zum ABschliesen der Deinstallation alle Internet Explorer-Browserfenster. ??? Meines Wissens ist gar keiner geöffnet.
Gruß, Bernd

Antwort

Themen zu GVU-Trojaner auch im abgesicherten Modus
abgesicherte, abgesicherten, abgesicherten modus, bitte um hilfe, gvu-trojaner, gvu-trojaner im abgesicherten modus, modus, rechner, troja



Ähnliche Themen: GVU-Trojaner auch im abgesicherten Modus


  1. GVU Trojaner hat PC auch im abgesicherten Modus gesperrt
    Log-Analyse und Auswertung - 24.10.2015 (11)
  2. Win7 - Trojaner, welcher auch abgesicherten Modus verhindert
    Log-Analyse und Auswertung - 11.11.2014 (17)
  3. GVU Trojaner, Windows Vista geht auch nicht im abgesicherten Modus
    Log-Analyse und Auswertung - 05.01.2014 (5)
  4. GVU Trojaner; Laptop läßt sich auch nicht im abgesicherten Modus starten
    Log-Analyse und Auswertung - 08.07.2013 (16)
  5. GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus
    Log-Analyse und Auswertung - 30.05.2013 (15)
  6. GVU Trojaner, auch im abgesicherten Modus. OTLPE File hier
    Log-Analyse und Auswertung - 30.04.2013 (8)
  7. GVU Trojaner sperrt auch im abgesicherten Modus
    Log-Analyse und Auswertung - 28.04.2013 (2)
  8. GVU Trojaner; Laptop läßt sich auch nicht im abgesicherten Modus starten
    Plagegeister aller Art und deren Bekämpfung - 13.04.2013 (15)
  9. GVU-Trojaner auch im abgesicherten Modus / WinXP
    Log-Analyse und Auswertung - 05.03.2013 (31)
  10. BKA Trojaner XP desktop Sperrung auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 20.02.2013 (39)
  11. GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (17)
  12. GVU Trojaner auf Windows Vista, auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 07.02.2013 (11)
  13. GVU Trojaner in Windows 7 - auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (18)
  14. GVU Trojaner auch im abgesicherten Modus, kein cd laufwerk...
    Plagegeister aller Art und deren Bekämpfung - 22.01.2013 (1)
  15. GVU-Trojaner auch im abgesicherten Modus - Windows XP
    Plagegeister aller Art und deren Bekämpfung - 04.01.2013 (8)
  16. Gema-Trojaner, PC auch im Abgesicherten Modus gesperrt
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (8)
  17. Bundespolizei Trojaner - auch im abgesicherten Modus nicht mehr Start möglich
    Log-Analyse und Auswertung - 05.12.2011 (8)

Zum Thema GVU-Trojaner auch im abgesicherten Modus - Hallo, ich habe auf meinem Rechner den GVU Trojaner. Leider hat er auch den abgesicherten Modus befallen. Bitte um Hilfe. - GVU-Trojaner auch im abgesicherten Modus...
Archiv
Du betrachtest: GVU-Trojaner auch im abgesicherten Modus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.