Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.02.2013, 21:33   #1
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Hallo,

habe mir gestern eine GVU-Trojaner auf meinem PC mit WIN XP Prof. eingefangen.

Die Sperrung ist auch im abgesicherten Modus aktiv!

Ich habe hier im Forum bereits einige Beiträge gelesen, doch die Lösungen sind doch
individuell auf den jeweiligen PC.

Ich habe bereits eine OTLPE-Bootdisk erstellt und den infizierten PC damit hochgefahren.
Anschließend gemäß hier gelesener Anleitung einen Scan durchgeführt.

Hierbei wurde aber nur die EINE Datei erstellt, OTL.txt, nicht die Extra.txt Datei!!!


Was soll ich jetzt tun???


Ich hoffe, Ihr könnt mir helfen! Eine Formatierung der Festplatte wäre eine Katastrophe!


Für Eure Bemühungen im Voraus herzlichen Dank!

Hier die Log-Datei:

Code:
ATTFilter
OTL logfile created on: 2/7/2013 11:21:09 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 4989 4989 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 200.00 Gb Total Space | 170.21 Gb Free Space | 85.10% Space Free | Partition Type: NTFS
Drive D: | 731.51 Gb Total Space | 708.92 Gb Free Space | 96.91% Space Free | Partition Type: NTFS
Drive E: | 931.50 Gb Total Space | 929.02 Gb Free Space | 99.73% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2013/02/07 13:19:23 | 000,114,688 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Dokumente und Einstellungen\***\3875750.exe -- (winmgmt)
SRV - [2013/02/06 12:57:18 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/12/11 14:33:45 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/12/11 14:33:16 | 000,565,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012/12/11 14:33:10 | 000,400,160 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012/12/11 14:33:09 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/12/11 14:33:08 | 000,656,672 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService)
SRV - [2012/08/11 09:43:06 | 000,055,184 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/10/19 01:46:42 | 001,952,488 | ---- | M] (Language Engineering Corporation, LLC) [Auto] -- C:\Programme\Power Translator 14\LogoMedia TranslateDotNet Server.exe -- (LEC TranslateDotNet Server)
SRV - [2011/02/18 01:18:50 | 000,245,760 | ---- | M] () [Auto] -- C:\Programme\Synology\Assistant\UsbClientService.exe -- (UsbClientService)
SRV - [2010/06/15 11:08:28 | 000,861,696 | ---- | M] () [Auto] -- C:\WINDOWS\System32\atwtusb.exe -- (WTService)
SRV - [2010/05/07 12:47:32 | 000,162,648 | ---- | M] (Logitech Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2010/01/11 21:45:36 | 000,245,760 | ---- | M] () [Auto] -- C:\Programme\Synology Data Replicator  3\SynoDrService.exe -- (SynoDrService)
SRV - [2009/12/08 01:14:28 | 005,241,448 | ---- | M] () [Disabled] -- C:\Programme\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe -- (NVIDIA Performance Driver Service)
SRV - [2009/10/27 03:26:36 | 000,657,408 | ---- | M] (Nokia) [On_Demand] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2003/07/28 05:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 16:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/12/11 14:33:59 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/12/11 14:33:58 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012/11/26 12:53:20 | 000,112,584 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avfwot.sys -- (avfwot)
DRV - [2012/11/26 12:53:20 | 000,092,008 | ---- | M] (Avira GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avfwim.sys -- (avfwim)
DRV - [2012/11/13 12:07:47 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012/10/09 11:28:41 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012/02/26 05:36:55 | 000,013,824 | ---- | M] (Scott) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\USBDrv.sys -- (usbUDisc)
DRV - [2012/01/24 02:49:42 | 000,046,144 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiBus.sys -- (SaiNtBus)
DRV - [2012/01/24 02:49:42 | 000,022,720 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiMini.sys -- (SaiMini)
DRV - [2011/12/07 23:22:38 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ssudmdm.sys -- (ssudmdm) SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.)
DRV - [2011/12/07 23:22:38 | 000,080,184 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ssudbus.sys -- (dg_ssudbus) SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.)
DRV - [2011/09/20 02:34:24 | 000,147,264 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiK0CCB.sys -- (SaiK0CCB)
DRV - [2011/09/20 02:34:24 | 000,041,152 | ---- | M] (Saitek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SaiU0CCB.sys -- (SaiU0CCB)
DRV - [2011/09/16 05:54:40 | 000,020,032 | ---- | M] (Devguru Co., Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - [2011/02/18 01:20:08 | 000,046,304 | ---- | M] (Windows (R) Win 7 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\busenum.sys -- (busenum)
DRV - [2010/05/14 17:04:20 | 000,023,904 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2010/05/14 17:04:02 | 006,842,592 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech HD Webcam C310(UVC)
DRV - [2010/05/14 17:02:26 | 000,276,448 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2010/05/14 17:02:14 | 000,114,784 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvpopflt.sys -- (lvpopflt)
DRV - [2010/05/07 12:43:30 | 000,025,824 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2010/01/25 00:25:30 | 000,111,360 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2010/01/25 00:25:14 | 004,745,216 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009/10/06 05:52:50 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2009/10/06 05:52:34 | 000,022,016 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2009/10/06 05:52:34 | 000,017,664 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2009/10/06 05:52:34 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2009/08/20 11:38:24 | 000,006,144 | R--- | M] (Windows (R) Win 7 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\walvhid.sys -- (vhidmini)
DRV - [2009/03/08 12:15:14 | 000,006,144 | R--- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\moufiltr.sys -- (moufiltr)
DRV - [2008/08/26 03:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008/07/30 00:51:30 | 000,277,736 | ---- | M] (Protect Software GmbH) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2006/11/22 04:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006/11/22 04:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb)
DRV - [2006/11/22 04:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp)
DRV - [2005/06/16 09:05:00 | 000,015,872 | ---- | M] (REINER SCT) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cjusb.sys -- (cjusb)
DRV - [2003/11/07 22:16:00 | 000,265,728 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\***_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
IE - HKU\***_ON_C\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
IE - HKU\***_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\***_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_270.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013/02/06 12:57:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013/02/06 12:57:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012/10/29 13:39:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2013/02/06 12:57:07 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013/02/06 12:57:07 | 000,000,000 | ---D | M] (Skype extension) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2013/02/06 12:57:18 | 000,262,552 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2009/07/29 09:40:04 | 000,605,184 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\beanspruchung.dll
[2009/07/24 08:40:42 | 000,025,600 | ---- | M] (Inprise Corporation) -- C:\Programme\mozilla firefox\plugins\borlndmm.dll
[2009/07/24 08:40:44 | 001,500,160 | ---- | M] (Borland Corporation) -- C:\Programme\mozilla firefox\plugins\cc3260mt.dll
[2009/07/29 09:39:44 | 000,713,216 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\gemeinden_italy.dll
[2009/07/29 09:38:02 | 001,982,464 | ---- | M] (SYSCON-Informatik GmbH) -- C:\Programme\mozilla firefox\plugins\mdview3d.dll
[2009/07/30 07:24:28 | 001,503,232 | ---- | M] (SYSCON INFORMATIK GmbH) -- C:\Programme\mozilla firefox\plugins\npProfilRechercheInetCtrl.dll
[2009/07/24 08:42:02 | 000,288,256 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\scprint_bc.dll
[2009/07/24 08:42:00 | 000,101,376 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\sctbcolordlg_bc.dll
[2009/07/29 09:38:58 | 003,534,336 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\scviewer.dll
[2009/07/24 08:40:44 | 000,618,496 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\stlpmt45.dll
[2012/01/20 13:03:30 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/09/04 14:12:03 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/01/20 13:03:30 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/01/20 13:03:30 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/01/20 13:03:30 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/01/20 13:03:30 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012/03/01 15:29:24 | 000,441,471 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 15173 more lines...
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (LEC) - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 14\Applications\LEC IE Translation Extension.dll (Language Engineering Corporation, LLC)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKU\***_ON_C\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.)
O3 - HKU\***_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [KiesTrayAgent] C:\Programme\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.)
O4 - HKLM..\Run: [MacrokeyManager] C:\WINDOWS\System32\WTMKM.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [ProfilerU] C:\Programme\SmartTechnology\Software\ProfilerU.exe (Saitek)
O4 - HKLM..\Run: [SaiMfd] C:\Programme\SmartTechnology\Software\SaiMfd.exe (Saitek)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKU\***_ON_C..\Run: [KiesHelper] C:\Programme\Samsung\Kies\KiesHelper.exe (Samsung)
O4 - HKU\***_ON_C..\Run: [KiesPDLR] C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Adobe Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe (3Dconnexion, INC)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\***_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\DOKUME~1\ALLUSE~1\ANWEND~1\PCVISI~1\caloa\Common\CALOA_~1\release\1926~1.240\remoteProcStart_x86.dll) - C:\DOKUME~1\ALLUSE~1\ANWEND~1\PCVISI~1\caloa\Common\CALOA_~1\release\1926~1.240\remoteProcStart_x86.dll (pcvisit software ag)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/01/25 12:35:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/02/07 13:19:23 | 000,114,688 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\3875750.exe
[2013/02/06 13:24:12 | 000,181,432 | ---- | C] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\WINDOWS\System32\drivers\ssudmdm.sys
[2013/02/06 13:24:12 | 000,080,184 | ---- | C] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\WINDOWS\System32\drivers\ssudbus.sys
[2013/02/06 12:57:06 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013/02/02 05:53:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2013/02/02 04:14:18 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013/01/23 15:45:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\VW
[2013/01/23 15:43:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EVA-18599 [2011]
[2013/01/23 15:43:15 | 000,000,000 | ---D | C] -- C:\EVA-18599-2011
[2013/01/23 15:42:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp-EVA-18599-2011-NWB
[2010/02/24 12:57:23 | 000,018,944 | ---- | C] ( ) -- C:\WINDOWS\System32\implode.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013/02/07 16:20:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/02/07 16:19:58 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\logiflt.iad
[2013/02/07 13:58:52 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad
[2013/02/07 13:22:47 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013/02/07 13:21:27 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/02/07 13:21:23 | 000,000,618 | ---- | M] () -- C:\WINDOWS\tasks\WebContent AutoUpdate 2011.job
[2013/02/07 13:19:26 | 000,002,795 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js
[2013/02/07 13:19:26 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk
[2013/02/07 13:19:23 | 000,114,688 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\3875750.exe
[2013/02/07 13:11:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013/02/07 12:19:54 | 000,506,256 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/02/07 12:19:54 | 000,484,566 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/02/07 12:19:54 | 000,096,228 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/02/07 12:19:54 | 000,080,580 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/02/06 16:40:12 | 001,543,848 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/02/06 16:40:12 | 000,272,330 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-117609710-1972579041-725345543-1003-0.dat
[2013/02/06 16:40:11 | 000,272,330 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2013/02/06 13:12:45 | 000,056,381 | ---- | M] () -- C:\WINDOWS\tasks\apc.cache
[2013/02/05 13:38:28 | 000,000,616 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2013/02/05 12:47:21 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/02/04 12:28:22 | 000,002,483 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\CorelDRAW 11.lnk
[2013/02/03 13:30:00 | 000,000,138 | ---- | M] () -- C:\WINDOWS\ccolwiz.ini
[2013/02/02 05:48:40 | 000,312,376 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013/02/02 04:30:49 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/01/23 15:43:32 | 000,001,519 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EVA-18599 [2011].lnk
[2013/01/23 15:43:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EVA-18599 [2011]
[2013/01/14 14:38:57 | 000,002,367 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Baurecht und Bauantrag digital 1-2009.lnk
[2013/01/12 14:21:14 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2013/01/09 13:55:11 | 000,002,531 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\On-Site Survey 2011.lnk
[2013/01/09 02:12:38 | 000,000,472 | ---- | M] () -- C:\WINDOWS\tasks\Allplan AutoUpdate 2011-1.job
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/02/07 13:22:14 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013/02/07 13:19:26 | 000,002,795 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js
[2013/02/07 13:19:26 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk
[2013/02/07 13:19:25 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad
[2013/02/06 13:12:45 | 000,056,381 | ---- | C] () -- C:\WINDOWS\tasks\apc.cache
[2013/02/02 05:48:27 | 001,543,848 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/01/23 15:43:32 | 000,001,519 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EVA-18599 [2011].lnk
[2012/09/10 16:10:01 | 000,272,330 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-117609710-1972579041-725345543-1003-0.dat
[2012/09/09 16:14:46 | 000,272,330 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012/05/27 10:10:24 | 000,075,040 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\SpeechUninstall.exe
[2012/03/03 08:23:24 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/03/01 14:59:48 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.EXE
[2012/03/01 14:59:48 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\hlduinst.exe
[2012/03/01 14:59:48 | 000,006,836 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2011/09/16 05:54:48 | 000,030,568 | ---- | C] () -- C:\WINDOWS\MusiccityDownload.exe
[2011/09/16 05:54:44 | 000,974,848 | ---- | C] () -- C:\WINDOWS\System32\cis-2.4.dll
[2011/09/16 05:54:44 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\issacapi_bs-2.3.dll
[2011/09/16 05:54:44 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\issacapi_pe-2.3.dll
[2011/09/16 05:54:44 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\issacapi_se-2.3.dll
[2011/07/10 21:02:00 | 000,000,530 | ---- | C] () -- C:\WINDOWS\System32\tx17_ic.ini
[2011/06/08 01:44:04 | 000,000,164 | ---- | C] () -- C:\WINDOWS\DBDUIHost.exe.config
[2010/12/09 14:17:32 | 000,861,696 | ---- | C] () -- C:\WINDOWS\System32\atwtusb.exe
[2010/12/09 14:17:31 | 000,151,272 | ---- | C] () -- C:\WINDOWS\System32\Calibration.exe
[2010/12/09 14:17:31 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\InstallService.exe
[2010/12/09 14:17:29 | 006,259,432 | ---- | C] () -- C:\WINDOWS\System32\WTMKM.exe
[2010/12/09 14:17:29 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\ATWTINK.DLL
[2010/12/09 14:17:29 | 000,126,696 | ---- | C] () -- C:\WINDOWS\RmTablet.exe
[2010/12/09 14:17:28 | 000,022,856 | ---- | C] () -- C:\WINDOWS\System32\Photoshop Elements.ini
[2010/12/09 14:17:28 | 000,015,605 | ---- | C] () -- C:\WINDOWS\System32\PhotoImpact XL SE.ini
[2010/12/09 14:17:28 | 000,010,513 | ---- | C] () -- C:\WINDOWS\System32\Windows7.ini
[2010/12/09 14:17:28 | 000,010,251 | ---- | C] () -- C:\WINDOWS\System32\Vista.ini
[2010/12/09 14:17:28 | 000,009,868 | ---- | C] () -- C:\WINDOWS\System32\XP_2000.ini
[2010/12/09 14:17:28 | 000,000,924 | ---- | C] () -- C:\WINDOWS\System32\Corel Draw.ini
[2010/12/09 14:17:28 | 000,000,792 | ---- | C] () -- C:\WINDOWS\System32\MKProfile.ini
[2010/12/09 14:17:27 | 000,008,229 | ---- | C] () -- C:\WINDOWS\aiptbl.ini
[2010/11/17 13:42:56 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010/11/01 16:08:36 | 000,236,588 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010/11/01 16:08:34 | 000,236,588 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010/11/01 16:08:34 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010/08/31 09:04:44 | 000,000,128 | ---- | C] () -- C:\WINDOWS\System32\winsys.dll
[2010/07/30 09:37:52 | 000,042,496 | ---- | C] () -- C:\WINDOWS\System32\spwini.dll
[2010/05/17 11:01:34 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2010/05/14 16:56:06 | 010,830,680 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll
[2010/05/14 16:56:06 | 000,102,744 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe
[2010/05/14 16:55:58 | 000,290,648 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll
[2010/05/14 16:47:00 | 000,090,071 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010/05/07 12:46:36 | 000,014,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2010/05/07 12:43:30 | 000,025,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2010/03/02 03:33:31 | 000,029,184 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/02/24 15:09:37 | 000,000,098 | ---- | C] () -- C:\WINDOWS\NemAll_Sketching40.INI
[2010/02/13 10:40:21 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010/02/08 14:19:25 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\NMM-MetaData.db
[2010/01/31 13:32:40 | 000,003,056 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FUIPRESETS.INI
[2010/01/30 09:12:39 | 000,000,091 | ---- | C] () -- C:\WINDOWS\Brfaxrx.ini
[2010/01/30 09:12:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat
[2010/01/29 02:29:18 | 000,000,138 | ---- | C] () -- C:\WINDOWS\ccolwiz.ini
[2010/01/28 13:21:43 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\$_hpcst$.hpc
[2010/01/28 12:10:39 | 000,000,236 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2010/01/28 12:10:39 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2010/01/28 12:10:33 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2010/01/28 12:10:32 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2010/01/28 12:10:22 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08a.dat
[2010/01/28 12:10:20 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2010/01/28 12:08:09 | 000,031,864 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2010/01/28 04:15:55 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/01/28 04:15:49 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010/01/27 02:56:58 | 000,000,212 | ---- | C] () -- C:\WINDOWS\V0WIN729.SYS
[2010/01/27 02:53:38 | 000,000,051 | ---- | C] () -- C:\WINDOWS\TSetup.INI
[2010/01/26 15:04:21 | 000,000,396 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini
[2010/01/26 15:04:18 | 000,212,992 | ---- | C] () -- C:\WINDOWS\System32\cJSetup.dll
[2010/01/26 15:04:18 | 000,031,328 | ---- | C] () -- C:\WINDOWS\System32\Ctrsct16.dll
[2010/01/26 13:26:57 | 000,000,182 | ---- | C] () -- C:\WINDOWS\System32\EBPPORT4.DAT
[2010/01/26 13:24:39 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDER200Euro.ini
[2010/01/26 12:37:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/01/26 08:41:52 | 000,000,745 | ---- | C] () -- C:\WINDOWS\Ulead32.ini
[2010/01/26 08:27:56 | 000,000,616 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010/01/25 12:37:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/01/25 12:33:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010/01/25 12:16:47 | 000,004,349 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/01/25 12:14:03 | 000,312,376 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/12/17 16:31:25 | 002,195,350 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2009/10/06 02:16:02 | 000,819,200 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008/04/14 00:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007/03/16 11:00:00 | 000,003,403 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini
[2007/03/12 14:31:28 | 001,732,608 | ---- | C] () -- C:\WINDOWS\System32\BCGPStyle2007Luna.dll
[2006/12/30 23:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006/11/28 21:30:00 | 000,000,530 | ---- | C] () -- C:\WINDOWS\System32\tx13_ic.ini
[2003/09/08 16:21:54 | 000,090,112 | ---- | C] () -- C:\WINDOWS\AKDeInstall.exe
[2003/02/20 10:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002/08/29 06:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002/08/29 06:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2002/08/29 06:00:00 | 000,506,256 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2002/08/29 06:00:00 | 000,484,566 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2002/08/29 06:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2002/08/29 06:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2002/08/29 06:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2002/08/29 06:00:00 | 000,096,228 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2002/08/29 06:00:00 | 000,080,580 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2002/08/29 06:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2002/08/29 06:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2002/08/29 06:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2002/08/29 06:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2002/08/29 06:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1997/01/11 18:00:00 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\DTCTRACE.DLL
 
========== LOP Check ==========
 
[2010/03/22 05:43:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\3Dconnexion
[2010/09/02 09:16:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\HSETU
[2010/11/17 04:21:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech
[2012/05/27 09:56:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\LEC
[2011/12/20 14:24:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nemetschek
[2010/12/27 13:15:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nikon
[2010/02/09 09:27:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Nokia
[2010/02/08 14:01:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Suite
[2010/02/03 08:37:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ProtectDisc
[2011/11/03 14:11:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Samsung
[2010/01/28 12:18:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ScanSoft
[2010/02/02 10:12:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TeamViewer
[2011/11/29 16:45:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Temp
[2012/05/20 12:40:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
[2010/01/28 12:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zeon
[2011/08/21 04:59:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Nemetschek
[2012/10/14 16:24:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2010/07/19 11:13:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DBD
[2010/09/02 09:15:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
[2012/12/12 14:00:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
[2010/02/09 09:23:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2011/08/17 12:16:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nemetschek
[2010/02/09 09:25:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
[2012/09/16 12:05:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ORCA AVA
[2010/02/08 13:57:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2012/12/14 10:45:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pcvisit Software AG
[2010/03/07 07:05:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
[2011/08/27 06:22:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PRMT
[2012/03/11 16:51:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\REINER SCT
[2011/11/03 14:12:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2010/01/28 12:08:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2012/04/11 14:35:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartTechnology
[2010/12/09 14:17:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tablet
[2010/01/26 13:29:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010/02/24 12:59:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Valentin EnergieSoftware
[2010/03/07 07:06:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VVW
[2010/01/28 12:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zeon
[2010/12/26 11:53:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ziegel
[2010/10/20 10:27:18 | 000,000,242 | ---- | M] () -- C:\WINDOWS\Tasks\3DxSoftware Create Process (ID 4313601227486).job
[2013/01/09 02:12:38 | 000,000,472 | ---- | M] () -- C:\WINDOWS\Tasks\Allplan AutoUpdate 2011-1.job
[2013/02/06 13:12:45 | 000,056,381 | ---- | M] () -- C:\WINDOWS\Tasks\apc.cache
[2013/02/07 13:21:23 | 000,000,618 | ---- | M] () -- C:\WINDOWS\Tasks\WebContent AutoUpdate 2011.job
 
========== Purity Check ==========
 
 
< End of report >
         

Alt 09.02.2013, 15:26   #2
t'john
/// Helfer-Team
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus





Fixen mit OTLpe
  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
Code:
ATTFilter
:OTL

SRV - [2013/02/07 13:19:23 | 000,114,688 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Dokumente und Einstellungen\***\3875750.exe -- (winmgmt) 
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation) 
[2013/02/07 13:19:23 | 000,114,688 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\***\3875750.exe 
[2013/02/07 13:19:26 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk 
[2013/02/07 13:19:26 | 000,002,795 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js 
[2013/02/07 13:19:25 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad 

:Files 

ipconfig /flushdns /c
:Commands
[emptytemp]
         
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.
__________________

__________________

Alt 09.02.2013, 18:54   #3
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Hallo t´john,

vielen Dank für Deine Antwort!

Hier das Logfile nach dem Fixen: (Das System verlangte einen Neustart! Erst dann kam beim
erneuten Öffnen von OTLPE das Logfile!)



Code:
ATTFilter
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt deleted successfully.
File C:\Dokumente und Einstellungen\***\3875750.exe not found.
File move failed. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk scheduled to be moved on reboot.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\***\3875750.exe not found.
File C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
Empty user temp failed. Cannot find local settings folders.
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9471 bytes
 
Total Files Cleaned = 2.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 02092013_191423

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk not found!
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         

Mist, der Trojaner ist immer noch da!

Windows ist ziemlich weit hochgefahren, aber dann kam wieder die Sperrung.

Hab den PC im Normal-Modus hochgefahren!

Hatte so gehofft, dass das beim ersten Mal klappt.

Für Deine weitere Hilfe im Voraus besten Dank!

Gruß bartek71
__________________

Alt 09.02.2013, 20:01   #4
t'john
/// Helfer-Team
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Hast du auch die Sternchen zurueckersetzt bevor du gefixt hast?

Anscheinend nicht. Nacholen, nochmal fixen.
__________________
Mfg, t'john
Das TB unterstützen

Alt 09.02.2013, 23:09   #5
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Uuuups, hab gar nicht daran gedacht!

Hier das neue Logfile:

Code:
ATTFilter
========== OTL ==========
Service\Driver key winmgmt not found.
C:\Dokumente und Einstellungen\***\3875750.exe moved successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\***\3875750.exe not found.
File C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\runctf.lnk not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.js not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0575783.pad moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ***
->Temp folder emptied: 740560198 bytes
->Temporary Internet Files folder emptied: 160351597 bytes
->FireFox cache emptied: 73321488 bytes
->Flash cache emptied: 997 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
 
Total Files Cleaned = 929.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 02092013_233717

Files\Folders moved on Reboot...
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         

Juhuuu! Er geht wieder!!! Super, tausend Dank!!! Ihr seit genial!

In anderen Beiträgen habe ich gelesen, dass das noch nicht alles ist.
Was muss ich noch tun?

Für die weiteren Tipps und Maßnahmen im Voraus besten Dank!

Gruß
bartek71


Alt 09.02.2013, 23:13   #6
t'john
/// Helfer-Team
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Sehr gut!

1. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


danach:

2. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).



danach:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
--> GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus

Alt 10.02.2013, 11:20   #7
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Hallo t´john,

beim Voll-Scan von Malwarebytes hat mein Virenprogramm Avira ein unerwünschtes Programm gefunden!
Objekt: 3875750.exe
Fund: TR/Ransom.Foreign.aagz

Bei der Meldung von Avira konnte ich kurz irgend etwas von OTLPE erkennen!
Ich wollte mir die Details anzeigen lassen, da hat Avira das System schon untersucht!

Soll es in Quarantäne verschoben werden, oder abbrechen?

Möchte jetzt keinen Fehler machen! Was soll ich tun?

Für eine kurzfristige Antwort wäre ich Dir sehr dankbar!

Gruß
barte71

Hallo t´john,

der Voll-Scan von Malwarebytes ist beendet.

Auch hier wird eine Infizierung angezeigt:
Trojan.Ransom im Orner von OTL\MovedFiles\

Das wäre doch der gleiche Trojaner, welchen Avira gefunden hat und bereits isolliert habt, oder?

Welche Reihenfolge muss ich einhalten?
Zuerst bei Avira in Quarantäne schieben und dann bei Malwarebytes entfernen?
oder bei Malwarebytes entfernen und bei Avira ignorieren und abbrechen?

Hilfe!

Für die Antwort im Voraus besten Dank.

Also, ich habe die Meldung von Avira abgebrochen und die infizierte Datei
bei Malwarebytes entfernt!
Avira hat wohl das gefunden, was du über OTLPE bereits isolliert hast und von Malwarebytes auch gefunden wurde!
War die einzige logische Erklärung für mich!

Hier die jeweiligen Logfiles:

Malwarebytes:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.10.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: ***-***810*** [Administrator]

10.02.2013 11:24:35
mbam-log-2013-02-10 (11-24-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Z:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 331606
Laufzeit: 1 Stunde(n), 2 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\02092013_233717\C_Dokumente und Einstellungen\***\3875750.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
AdwCleaner:
AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v2.111 - Datei am 10/02/2013 um 15:24:41 erstellt
# Aktualisiert am 05/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : *** - ***-***810***
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\Conduit
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\CT2319825
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\extensions\{40c3cc16-7269-4b32-9531-17f2950fb06f}
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Conduit
Ordner Gelöscht : C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Winload
Ordner Gelöscht : C:\Programme\Conduit
Ordner Gelöscht : C:\Programme\Winload

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2737AB87-1E8E-492E-B6EA-B3375128C69B}
Schlüssel Gelöscht : HKCU\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\Winload
Schlüssel Gelöscht : HKCU\Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2737AB87-1E8E-492E-B6EA-B3375128C69B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C2387C2E-03CC-40D1-BD9F-44F123C13F3E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2E78A2B6-105D-4435-99F0-4AB0F6BC50B4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D7B9E5CF-7BD5-4BFF-B910-F3164F1D8CD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Winload Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40C3CC16-7269-4B32-9531-17F2950FB06F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2737AB87-1E8E-492E-B6EA-B3375128C69B}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winload Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Schlüssel Gelöscht : HKLM\Software\Winload
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{40C3CC16-7269-4B32-9531-17F2950FB06F}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{40C3CC16-7269-4B32-9531-17F2950FB06F}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{40C3CC16-7269-4B32-9531-17F2950FB06F}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825 --> hxxp://www.google.com

-\\ Mozilla Firefox v18.0.2 (de)

Datei : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\03ulfj6s.default\prefs.js

Gelöscht : user_pref("CT2319825.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2319825.CTID", "CT2319825");
Gelöscht : user_pref("CT2319825.CurrentServerDate", "5-8-2010");
Gelöscht : user_pref("CT2319825.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2319825.EMailNotifierPollDate", "Thu Aug 05 2010 17:16:05 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedLastCount128902288263982011", 75);
Gelöscht : user_pref("CT2319825.FeedLastCount129056115025381886", 0);
Gelöscht : user_pref("CT2319825.FeedPollDate11908299", "Thu Aug 05 2010 17:16:08 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate128902288263982011", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129056115025381886", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228016461601757", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228019840048158", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228021559110981", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FeedPollDate129228022849107630", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.FirstServerDate", "5-8-2010");
Gelöscht : user_pref("CT2319825.FirstTime", true);
Gelöscht : user_pref("CT2319825.FirstTimeFF3", true);
Gelöscht : user_pref("CT2319825.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2319825.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2319825.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2319825.Initialize", true);
Gelöscht : user_pref("CT2319825.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2319825.InstalledDate", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.InvalidateCache", false);
Gelöscht : user_pref("CT2319825.IsGrouping", false);
Gelöscht : user_pref("CT2319825.IsMulticommunity", false);
Gelöscht : user_pref("CT2319825.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2319825.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT2319825.LanguagePackLastCheckTime", "Thu Aug 05 2010 17:16:08 GMT+0200");
Gelöscht : user_pref("CT2319825.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2319825.LastLogin_2.5.8.6", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.LatestVersion", "2.1.0.18");
Gelöscht : user_pref("CT2319825.Locale", "de");
Gelöscht : user_pref("CT2319825.LoginCache", 4);
Gelöscht : user_pref("CT2319825.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2319825.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2319825.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2319825.RadioIsPodcast", false);
Gelöscht : user_pref("CT2319825.RadioLastCheckTime", "Thu Aug 05 2010 17:16:06 GMT+0200");
Gelöscht : user_pref("CT2319825.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2319825.RadioLastUpdateServer", "129224641269630000");
Gelöscht : user_pref("CT2319825.RadioMediaID", "11949532");
Gelöscht : user_pref("CT2319825.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2319825.RadioMenuSelectedID", "EBRadioMenu_CT231982511949532");
Gelöscht : user_pref("CT2319825.RadioStationName", "1Live");
Gelöscht : user_pref("CT2319825.RadioStationURL", "hxxp://gffstream.ic.llnwd.net/stream/gffstream_stream_wdr_ei[...]
Gelöscht : user_pref("CT2319825.SHRINK_TOOLBAR", 1);
Gelöscht : user_pref("CT2319825.SavedHomepage", "hxxp://www.freenet.de");
Gelöscht : user_pref("CT2319825.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2319825.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2319825.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT231[...]
Gelöscht : user_pref("CT2319825.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2319825.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.SearchInNewTabLastCheckTime", "Thu Aug 05 2010 17:16:04 GMT+0200");
Gelöscht : user_pref("CT2319825.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2319825.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2319825.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2319825.SettingsLastCheckTime", "Thu Aug 05 2010 17:16:03 GMT+0200");
Gelöscht : user_pref("CT2319825.SettingsLastUpdate", "1280656073");
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastCheck", "Thu Aug 05 2010 17:16:03 GMT+0200");
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2319825.TrusteLinkUrl", "hxxp://www.truste.org/pvr.php?page=validate&softwareProgramId=[...]
Gelöscht : user_pref("CT2319825.UserID", "UN20603000795743032");
Gelöscht : user_pref("CT2319825.WeatherNetwork", "");
Gelöscht : user_pref("CT2319825.WeatherPollDate", "Thu Aug 05 2010 17:16:08 GMT+0200");
Gelöscht : user_pref("CT2319825.WeatherUnit", "C");
Gelöscht : user_pref("CT2319825.alertChannelId", "715912");
Gelöscht : user_pref("CT2319825.clientLogIsEnabled", true);
Gelöscht : user_pref("CT2319825.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2319825.myStuffEnabled", true);
Gelöscht : user_pref("CT2319825.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2319825.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2319825.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2319825.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2319825");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2319825");
Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Thu Aug 05 2010 17:16:06 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2319825");
Gelöscht : user_pref("browser.search.defaultthis.engineName", "Winload Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&Sea[...]
Gelöscht : user_pref("browser.search.selectedEngine", "Winload Customized Web Search");

*************************

AdwCleaner[S1].txt - [11319 octets] - [10/02/2013 15:24:41]

########## EOF - C:\AdwCleaner[S1].txt - [11380 octets] ##########
         
--- --- ---


aswMBR:
Code:
ATTFilter
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-10 15:32:05
-----------------------------
15:32:05.484    OS Version: Windows 5.1.2600 Service Pack 3
15:32:05.484    Number of processors: 2 586 0x402
15:32:05.484    ComputerName: ***-***810***  UserName: ***
15:32:05.906    Initialize success
15:45:48.515    AVAST engine defs: 13021000
15:46:18.265    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
15:46:18.265    Disk 0 Vendor: SAMSUNG_HD105SI 1AJ100E4 Size: 953869MB BusType: 3
15:46:18.265    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T1L0-20
15:46:18.265    Disk 1 Vendor: SAMSUNG_HD103SJ 1AJ10001 Size: 953869MB BusType: 3
15:46:18.265    Disk 0 MBR read successfully
15:46:18.265    Disk 0 MBR scan
15:46:18.296    Disk 0 Windows XP default MBR code
15:46:18.296    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       204797 MB offset 63
15:46:18.296    Disk 0 Partition - 00     0F Extended LBA            749062 MB offset 419425020
15:46:18.312    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       749061 MB offset 419425083
15:46:18.312    Disk 0 scanning sectors +1953504000
15:46:18.359    Disk 0 scanning C:\WINDOWS\system32\drivers
15:46:22.906    Service scanning
15:46:33.000    Modules scanning
15:46:36.015    Disk 0 trace - called modules:
15:46:36.046    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
15:46:36.046    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8adb8ab8]
15:46:36.046    3 CLASSPNP.SYS[b8108fd7] -> nt!IofCallDriver -> \Device\0000007d[0x8adeef18]
15:46:36.046    5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x8ae7bd98]
15:46:36.468    AVAST engine scan C:\WINDOWS
15:46:50.718    AVAST engine scan C:\WINDOWS\system32
15:49:15.093    AVAST engine scan C:\WINDOWS\system32\drivers
15:49:23.343    AVAST engine scan C:\Dokumente und Einstellungen\***
15:51:31.281    AVAST engine scan C:\Dokumente und Einstellungen\All Users
15:52:43.796    Scan finished successfully
15:53:11.343    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
15:53:11.343    The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"
         

Für Deine weiteren Instruktionen im Voraus besten Dank.

Gruß
bartek71

Alt 10.02.2013, 19:46   #8
t'john
/// Helfer-Team
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.



danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Alt 10.02.2013, 20:59   #9
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Hallo t´john,

habe Avira deaktiviert!

hier die Logfiles:

JRT
JRT Logfile:
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.6.2 (02.02.2013:2)
OS: Microsoft Windows XP x86
Ran by *** on 10.02.2013 at 21:32:36,51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\DisplayName
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\URL



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [Folder] C:\Dokumente und Einstellungen\***\Anwendungsdaten\mozilla\firefox\profiles\03ulfj6s.default\extensions\VekaRecherche@veka.com





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 10.02.2013 at 21:36:04,82
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         
--- --- ---



Zu Security Check gab es eine Fehlermeldung!

Habe das Programm vom Desktop gestartet, mit dem Drücken einer beliebigen Taste
fortgeführt. Im DOS-Fenster stand nur "Preparing".
Gleichzeitig kam eine Fehlermeldung im neuen Fenster:

AutoIt Error:

Line -1:
Error: Variable must be of type "Objekt"

Ich habe auf den einzigen Butten dieser Fehlermeldung gedrückt: OK

Danach lief das Programm und folgende Logfile wurde erstellt.

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.57  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
 Windows Security Center service is not running! This report may not be accurate! 
Warten Sie, w„hrend WMIC installiert wird. 
 WMI entry may not exist for antivirus; attempting automatic update. 
 Avira successfully updated! 
`````````Anti-malware/Other Utilities Check:````````` 
 MVPS Hosts File  
 Out of date HijackThis  installed! 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 HijackThis 2.0.2    
 Adobe Flash Player 	11.3.300.270  
 Adobe Reader 9 Adobe Reader out of Date! 
 Mozilla Firefox (18.0.2) 
 Mozilla Thunderbird 16.0.2 Thunderbird out of Date!  
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
         

Gruß
bartek71

Alt 11.02.2013, 00:05   #10
t'john
/// Helfer-Team
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Windows Repair Tool (AIO)

  • Downloade Windows repair tool
  • Entpacke das Zip und starte Repair_Windows.exe
  • Klicke auf Start repairs Tab dann: Start

    folgende Punkte auswählen

    Register System Files
    Repair WMI
    Repair Windows Firewall
    Remove Policies Set By Infections
    Repair Windows Updates
    Set Windows Services To Default Startup
    Repair MSI (Installer)


    Auswählen: Restart System When Finished
    Dann Start Button klicken.




Aktualisiere:
Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)
Firefox - Download - Filepony

Dann deinstalliere:
Hijackthis
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.02.2013, 17:44   #11
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Hallo t´john,

habe eine Zwischenfrage zu Repair_Windows:

Beim klicken auf den START-Button kommt eine Frage:
"You haven´t created a restore point or backed up the registry. Would you like to do both now?"

Soll ich das ignorieren und auf NEIN drücken?

Alt 11.02.2013, 18:16   #12
t'john
/// Helfer-Team
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Nein.
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.02.2013, 19:27   #13
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



So, alle Jobs erledigt!

Windows Repair,
Update Adobe Reader,
Update FireFox

Hijackthis deinstalliert!


Wow, die Kiste war ganz schön zugemüllt, mein lieber Scholli!
Sollte wohl immer darauf achten, dass auch Windows immer upgedatet ist! Oder?
Habe dies nämlich vernachlässigt!

Und nun, ist der PC jetzt sauber?

Für weitere Anweisungen im Voraus besten Dank!

Alt 12.02.2013, 06:08   #14
t'john
/// Helfer-Team
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus



Zitat:
Sollte wohl immer darauf achten, dass auch Windows immer upgedatet ist! Oder?
Wichtiger als ein Virenscanner.


Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 12.02.2013, 09:58   #15
bartek71
 
GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Standard

GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus





Hallo t´john,

alle Jobs erledigt!
Das Zurücksetzen der Sicherheitszone habe ich nur beim IE nach Anleitung gefunden.
Ich verwende Firefox, dort habe ich diese Möglichkeit nicht gefunden!
Ist der IE in der Hinsicht besser?

Die Lektüren habe ich auf 2. PC (Laptop) durchgelesen! An was man alles denken sollte! Diesen 2. PC habe ich bereits in allen Punkten aktualisiert!

Ich traue mich noch nicht mit dem betroffenen PC ins Internet zu gehen, da bei meiner
Virensoftware "Avira Internet Security 2012" der Browser-Schutz und Email-Schutz sich nicht mehr aktivieren lassen (obwohl in den Diensten der Browser-Schutz auf automatisch steht)!!!

Hab jetzt mal ne Support-Mail an Avira geschrieben, mal schauen.

Für Deinen tollen Job danke ich Dir vom ganzen Herzen!!! Ich wäre ohne Dich ganz schön aufgeschmießen!!!
Ein großes Lob an alle im Team Trojaner-Board.de für das Engagement!!!

Gruß und gute Zeit
bartek71


Antwort

Themen zu GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus
.com, antivir, avira, bonjour, computer, desktop, device driver, einstellungen, explorer, festplatte, firefox, fontcache, gesperrt, gvu trojaner entfernen windows xp, infizierte, launch, log-datei, lws.exe, mozilla, performance, photoshop, realtek, registry, rundll, scan, software, synology, tr/ransom.foreign.aagz, trojaner, windows, windows xp, winload toolbar



Ähnliche Themen: GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus


  1. GVU Trojaner hat PC auch im abgesicherten Modus gesperrt
    Log-Analyse und Auswertung - 24.10.2015 (11)
  2. Computer von GVU Gesperrt auch abgesicherter Modus
    Plagegeister aller Art und deren Bekämpfung - 31.05.2013 (29)
  3. GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus
    Log-Analyse und Auswertung - 30.05.2013 (15)
  4. GVU Trojaner sperrt auch im abgesicherten Modus
    Log-Analyse und Auswertung - 28.04.2013 (2)
  5. Computer ist gesperrt....Im abgesicherten Modus nur alles schwarz.....
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (8)
  6. GVU-Trojaner auch im abgesicherten Modus / WinXP
    Log-Analyse und Auswertung - 05.03.2013 (31)
  7. BKA Trojaner XP desktop Sperrung auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 20.02.2013 (39)
  8. Computer gesperrt und ist weder im normalen noch im abgesicherten Modus zu verwenden!
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (21)
  9. GVU Trojaner auf Windows Vista, auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 07.02.2013 (11)
  10. GVU-Trojaner auch im abgesicherten Modus
    Log-Analyse und Auswertung - 31.01.2013 (34)
  11. GVU Trojaner in Windows 7 - auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (18)
  12. GVU Trojaner auch im abgesicherten Modus, kein cd laufwerk...
    Plagegeister aller Art und deren Bekämpfung - 22.01.2013 (1)
  13. GVU Trojaner auf XP / selbst im abgesicherten Modus gesperrt
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (20)
  14. GVU-Trojaner auch im abgesicherten Modus - Windows XP
    Plagegeister aller Art und deren Bekämpfung - 04.01.2013 (8)
  15. Gema-Trojaner, PC auch im Abgesicherten Modus gesperrt
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (8)
  16. Mein computer wurde auch gesperrt kein abgesichterter modus
    Log-Analyse und Auswertung - 05.02.2012 (6)
  17. Computer fährtr sofort runter-auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 06.09.2008 (2)

Zum Thema GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus - Hallo, habe mir gestern eine GVU-Trojaner auf meinem PC mit WIN XP Prof. eingefangen. Die Sperrung ist auch im abgesicherten Modus aktiv! Ich habe hier im Forum bereits einige Beiträge - GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus...
Archiv
Du betrachtest: GVU Trojaner - Computer gesperrt - auch im abgesicherten Modus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.