Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.03.2013, 19:35   #1
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Hallo an Alle,

normalerweise arbeite ich mir Firefox und wollte vorhin testen ob eine bestimmte Webseite auch im IE läuft, da das bisher nicht korrekt funktionierte. Kaum hatte ich die Webseite im IE geöffnet, meldet mein Anti Vir mir, dass exe .... Zugriff auf meinen Laptop nehmen will und ich habe auf Zugriff verweigern geklickt. Im gleichen Moment ist mein Laptop lahmgelegt und es erscheint die erpresserische Warnmeldung "Computersperre durch GVU" und nichts geht mehr.

Über mein Ipad habe ich mich im Netz schlau gemacht und bin jetzt über meinen infizierten Laptop, auf dem ein 2. Benutzer eingerichtet ist, hier im Forum.

Ich betreibe ein Internetgeschäft und alle aktuell relevanten Daten befinden sich auf meinem Laptop unter dem Hauptbenutzer. Die letzte Datensicherung habe ich im Dezember 2012 gemacht.

Zugegebenermaßen bin ich ziemliche Niete, was technische Sachen an meinem Laptop betrifft.

Ich habe im Netz einige Hinweise gelesen, was zu tun ist, um den Trojaner zu entfernen, muss aber zugeben, dass mir der Mut fehlt, die Bereinigung zu starten. Meine größte Sorge im Moment ist, dass ich alle aktuell relevanten Daten fürs Geschäft verliere.

Mein Betriebssystem: siehe Anhang

Wie gehe ich am sichersten vor?

Liebe Grüsse
Emanuele
Miniaturansicht angehängter Grafiken
GVU-Trojaner eingefangen-win-7.jpg  

Alt 09.03.2013, 20:52   #2
ryder
/// TB-Ausbilder
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Lesestoff:
Hinweise: Gewerblich genutzte Rechner
  • Die Hilfe, die wir hier anbieten, erfolgt für den User auf eigene Gefahr. Auch wenn wir uns nach bestem Wissen bemühen, so besteht doch das Risiko, dass der Computer im Laufe der Bereinigung evtl. nicht mehr startbar sein könnte oder es zu Datenverlust kommen kann. Für eine Sicherung der vorhandenen Arbeits- und ggf. Kundendaten hat der User selbst zu sorgen. Eine Haftung ist durch die Nutzungsvereinbarung auf jeden Fall ausgeschlossen. Darauf wurde hiermit hingewiesen.
  • Weiterhin wird hiermit darauf hingewiesen, dass in den zu postenden Logfiles eventuell Kundendaten mit anfallen könnten, beispielsweise dann, wenn infizierte Dokumente nach Kundennamen benannt wurden. Trojaner-Board wird die Logfiles im Nachhinein nicht abändern oder den Thread löschen.
  • Die Bereinigung erfolgt für kleine Unternehmen kostenfrei. Du hast allerdings die Möglichkeit uns mit einer Spende zu unterstützen.




Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?

Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".


Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
__________________

__________________

Alt 09.03.2013, 21:43   #3
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Irgend etwas übersehe ich gerade .

Das Recovery Scan Datei habe ich auf den USB Stick geladen, in den Laptop eingesteckt und den Laptop gestartet, F8 gedrückt und Computer reparieren gewählt.

Dann erscheint der Startbildschirm, wo ich mein Betriebssystem und Benutzerkonto ausgewählt habe. Ich habe hier an der Stelle das infizierte Konto gewählt (ist das eventuell verkehrt) und dann lädt der Laptop und ich bekomme keine Computerreparaturoptionen angezeigt, sonder die GVU .... dass mein Rechner gesperrt ist etc. pp.

Wenn ich das andere Benutzerkonto auswähle, kommt nur der normale Startbildschirm von Windows. Auch hier sehe ich keine Computerreparaturoptionen.

Was mache ich verkehrt?

LG Emanuele
__________________

Geändert von Emanuele (09.03.2013 um 22:01 Uhr)

Alt 09.03.2013, 23:18   #4
ryder
/// TB-Ausbilder
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Nein. Du hast das zu spät gedrückt. Drücke es mehrmals kurz nachdem die BIOS-Meldungen verschwinden bis ein Auswahlschirm in Textdarstellung erscheint.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 09.03.2013, 23:38   #5
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Sorry ... ich bin eine PC Niete

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 09-03-2013
Ran by Brockmann at 09-03-2013 23:31:55
Running from F:\
  Service Pack 1 (X64) OS Language: German Standard 
Attention: Could not load system hive.
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.


==================== One Month Created Files and Folders ========

2013-03-09 19:30 - 2013-03-09 19:30 - 00058016 ____A C:\Users\Geliebte\AppData\Local\GDIPFONTCACHEV1.DAT
2013-03-09 18:18 - 2013-03-09 18:18 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Avira
2013-03-09 18:13 - 2013-03-09 18:13 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Apple Computer
2013-03-09 17:59 - 2013-03-09 23:23 - 95023320 ___AT C:\ProgramData\2413865.pad
2013-03-09 17:59 - 2013-03-09 17:59 - 00002802 ____A C:\ProgramData\2413865.js
2013-03-09 17:59 - 2013-03-09 17:59 - 00000153 ____A C:\ProgramData\2413865.reg
2013-03-09 17:59 - 2013-03-09 17:59 - 00000063 ____A C:\ProgramData\2413865.bat
2013-03-09 17:58 - 2013-03-09 17:59 - 00106496 ____A (Microsoft Corporation) C:\Users\Brockmann\5683142.dll
2013-03-08 08:00 - 2013-03-08 08:01 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-03-06 08:20 - 2013-03-09 13:11 - 00000000 ____D C:\Users\Brockmann\Desktop\Paychat
2013-02-28 00:30 - 2013-01-13 22:17 - 00009728 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:17 - 00002560 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:16 - 00010752 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:12 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00005632 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00005632 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-user32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-version-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:35 - 00010752 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:35 - 00009728 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:35 - 00002560 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:32 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 01247744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00005632 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00005632 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-user32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-version-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:22 - 01988096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10warp.dll
2013-02-28 00:30 - 2013-01-13 21:20 - 00293376 ____A (Microsoft Corporation) C:\Windows\SysWOW64\dxgi.dll
2013-02-28 00:30 - 2013-01-13 21:09 - 00249856 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10_1core.dll
2013-02-28 00:30 - 2013-01-13 21:08 - 01504768 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2013-02-28 00:30 - 2013-01-13 21:08 - 00220160 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10core.dll
2013-02-28 00:30 - 2013-01-13 20:59 - 01643520 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2013-02-28 00:30 - 2013-01-13 20:58 - 01175552 ____A (Microsoft Corporation) C:\Windows\System32\FntCache.dll
2013-02-28 00:30 - 2013-01-13 20:54 - 00604160 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10level9.dll
2013-02-28 00:30 - 2013-01-13 20:53 - 00207872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecsExt.dll
2013-02-28 00:30 - 2013-01-13 20:53 - 00187392 ____A (Microsoft Corporation) C:\Windows\SysWOW64\UIAnimation.dll
2013-02-28 00:30 - 2013-01-13 20:51 - 02565120 ____A (Microsoft Corporation) C:\Windows\System32\d3d10warp.dll
2013-02-28 00:30 - 2013-01-13 20:49 - 00363008 ____A (Microsoft Corporation) C:\Windows\System32\dxgi.dll
2013-02-28 00:30 - 2013-01-13 20:48 - 00161792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10_1.dll
2013-02-28 00:30 - 2013-01-13 20:46 - 01080832 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10.dll
2013-02-28 00:30 - 2013-01-13 20:43 - 01230336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2013-02-28 00:30 - 2013-01-13 20:38 - 01887232 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-02-28 00:30 - 2013-01-13 20:38 - 00333312 ____A (Microsoft Corporation) C:\Windows\System32\d3d10_1core.dll
2013-02-28 00:30 - 2013-01-13 20:38 - 00296960 ____A (Microsoft Corporation) C:\Windows\System32\d3d10core.dll
2013-02-28 00:30 - 2013-01-13 20:37 - 03419136 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d2d1.dll
2013-02-28 00:30 - 2013-01-13 20:25 - 00245248 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecsExt.dll
2013-02-28 00:30 - 2013-01-13 20:24 - 00648192 ____A (Microsoft Corporation) C:\Windows\System32\d3d10level9.dll
2013-02-28 00:30 - 2013-01-13 20:24 - 00221184 ____A (Microsoft Corporation) C:\Windows\System32\UIAnimation.dll
2013-02-28 00:30 - 2013-01-13 20:20 - 01238528 ____A (Microsoft Corporation) C:\Windows\System32\d3d10.dll
2013-02-28 00:30 - 2013-01-13 20:20 - 00194560 ____A (Microsoft Corporation) C:\Windows\System32\d3d10_1.dll
2013-02-28 00:30 - 2013-01-13 20:15 - 01424384 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll
2013-02-28 00:30 - 2013-01-13 20:10 - 03928064 ____A (Microsoft Corporation) C:\Windows\System32\d2d1.dll
2013-02-28 00:30 - 2013-01-13 20:02 - 00417792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WMPhoto.dll
2013-02-28 00:30 - 2013-01-13 19:34 - 00364544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\XpsGdiConverter.dll
2013-02-28 00:30 - 2013-01-13 19:32 - 00465920 ____A (Microsoft Corporation) C:\Windows\System32\WMPhoto.dll
2013-02-28 00:30 - 2013-01-13 19:09 - 00522752 ____A (Microsoft Corporation) C:\Windows\System32\XpsGdiConverter.dll
2013-02-28 00:30 - 2013-01-13 18:26 - 01158144 ____A (Microsoft Corporation) C:\Windows\SysWOW64\XpsPrint.dll
2013-02-28 00:30 - 2013-01-13 18:05 - 01682432 ____A (Microsoft Corporation) C:\Windows\System32\XpsPrint.dll
2013-02-28 00:30 - 2013-01-04 07:11 - 02776576 ____A (Microsoft Corporation) C:\Windows\System32\msmpeg2vdec.dll
2013-02-28 00:30 - 2013-01-04 07:11 - 02284544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msmpeg2vdec.dll
2013-02-26 09:46 - 2013-02-26 09:58 - 00000000 ____D C:\Users\Brockmann\Documents\Technikerkrankenkasse
2013-02-23 09:31 - 2013-02-23 09:31 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\ProgramData\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\Program Files (x86)\Avira
2013-02-23 09:25 - 2013-02-23 09:21 - 00129216 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-02-23 09:25 - 2013-02-23 09:21 - 00099912 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-02-23 09:25 - 2013-02-23 09:21 - 00027800 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-02-23 09:18 - 2013-02-23 09:18 - 02086240 ____A C:\Users\Brockmann\Downloads\avira_free_antivirus.exe
2013-02-21 16:21 - 2013-02-21 16:20 - 00262560 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaws.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaw.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\java.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00095648 ____A (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2013-02-21 16:20 - 2013-02-21 16:20 - 00000000 ____D C:\Program Files (x86)\Java
2013-02-20 11:52 - 2013-02-20 11:53 - 00000000 ____D C:\Users\Brockmann\Desktop\externe Platte
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\mresreg
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\IN-MEDIAKG
2013-02-20 08:09 - 2013-02-20 08:09 - 00000000 ____D C:\Program Files (x86)\mresreg
2013-02-15 11:43 - 2013-03-01 09:06 - 00000000 ____D C:\Users\Brockmann\Desktop\Steuerberater
2013-02-14 09:28 - 2013-03-01 00:02 - 00000000 ____D C:\Users\Brockmann\Desktop\Mails
2013-02-14 00:30 - 2013-01-09 02:48 - 17812992 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-02-14 00:30 - 2013-01-09 02:22 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-02-14 00:30 - 2013-01-09 02:19 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-02-14 00:30 - 2013-01-09 02:12 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-02-14 00:30 - 2013-01-09 02:12 - 01346048 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-02-14 00:30 - 2013-01-09 02:11 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-02-14 00:30 - 2013-01-09 02:10 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-02-14 00:30 - 2013-01-09 02:09 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-02-14 00:30 - 2013-01-09 02:07 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-02-14 00:30 - 2013-01-09 02:07 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-02-14 00:30 - 2013-01-09 02:07 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-02-14 00:30 - 2013-01-09 02:06 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-02-14 00:30 - 2013-01-09 02:05 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-02-14 00:30 - 2013-01-09 02:04 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-02-14 00:30 - 2013-01-09 02:04 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-02-14 00:30 - 2013-01-09 02:00 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-02-14 00:30 - 2013-01-08 23:23 - 12321280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-02-14 00:30 - 2013-01-08 23:11 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-02-14 00:30 - 2013-01-08 23:09 - 09738240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-02-14 00:30 - 2013-01-08 23:03 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-02-14 00:30 - 2013-01-08 23:03 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-02-14 00:30 - 2013-01-08 23:03 - 01103872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-02-14 00:30 - 2013-01-08 23:01 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-02-14 00:30 - 2013-01-08 23:00 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-02-14 00:30 - 2013-01-08 22:59 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-02-14 00:30 - 2013-01-08 22:58 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-02-14 00:30 - 2013-01-08 22:58 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-02-14 00:30 - 2013-01-08 22:57 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-02-14 00:30 - 2013-01-08 22:56 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-02-14 00:30 - 2013-01-08 22:56 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-02-14 00:30 - 2013-01-08 22:56 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-02-14 00:30 - 2013-01-08 22:53 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-02-13 16:20 - 2013-01-05 06:53 - 05553512 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-02-13 16:20 - 2013-01-05 06:00 - 03967848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2013-02-13 16:20 - 2013-01-05 06:00 - 03913064 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2013-02-13 16:20 - 2013-01-04 06:46 - 00215040 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2013-02-13 16:20 - 2013-01-04 05:51 - 00005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2013-02-13 16:20 - 2013-01-04 04:26 - 03153408 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-02-13 16:20 - 2013-01-04 03:47 - 00025600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2013-02-13 16:20 - 2013-01-04 03:47 - 00014336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2013-02-13 16:20 - 2013-01-04 03:47 - 00007680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2013-02-13 16:20 - 2013-01-04 03:47 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2013-02-13 16:20 - 2013-01-03 07:00 - 01913192 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-02-13 16:20 - 2013-01-03 07:00 - 00288088 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\FWPKCLNT.SYS


==================== One Month Modified Files and Folders =======

2013-03-09 23:31 - 2013-03-09 23:31 - 00000000 ____D C:\FRST
2013-03-09 23:23 - 2013-03-09 17:59 - 95023320 ___AT C:\ProgramData\2413865.pad
2013-03-09 23:22 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-03-09 23:22 - 2009-07-14 05:51 - 00092775 ____A C:\Windows\setupact.log
2013-03-09 23:20 - 2012-05-11 10:24 - 01834972 ____A C:\Windows\WindowsUpdate.log
2013-03-09 22:55 - 2012-05-12 17:34 - 00001136 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764388615-2044592701-2774466867-1000UA.job
2013-03-09 22:55 - 2012-05-12 17:34 - 00001084 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764388615-2044592701-2774466867-1000Core.job
2013-03-09 22:31 - 2013-01-14 15:57 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-03-09 21:37 - 2009-07-14 05:45 - 00021072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-03-09 21:37 - 2009-07-14 05:45 - 00021072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-03-09 21:33 - 2012-05-11 20:20 - 00697526 ____A C:\Windows\System32\perfh007.dat
2013-03-09 21:33 - 2012-05-11 20:20 - 00148532 ____A C:\Windows\System32\perfc007.dat
2013-03-09 21:33 - 2009-07-14 06:13 - 01614852 ____A C:\Windows\System32\PerfStringBackup.INI
2013-03-09 19:30 - 2013-03-09 19:30 - 00058016 ____A C:\Users\Geliebte\AppData\Local\GDIPFONTCACHEV1.DAT
2013-03-09 18:18 - 2013-03-09 18:18 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Avira
2013-03-09 18:13 - 2013-03-09 18:13 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Apple Computer
2013-03-09 17:59 - 2013-03-09 17:59 - 00002802 ____A C:\ProgramData\2413865.js
2013-03-09 17:59 - 2013-03-09 17:59 - 00000153 ____A C:\ProgramData\2413865.reg
2013-03-09 17:59 - 2013-03-09 17:59 - 00000063 ____A C:\ProgramData\2413865.bat
2013-03-09 17:59 - 2013-03-09 17:58 - 00106496 ____A (Microsoft Corporation) C:\Users\Brockmann\5683142.dll
2013-03-09 17:58 - 2012-05-11 10:41 - 00000000 ____D C:\users\Brockmann
2013-03-09 17:33 - 2012-09-23 18:29 - 00000000 ____D C:\Users\Brockmann\Desktop\Werbung gesamt
2013-03-09 16:06 - 2012-05-11 11:31 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-03-09 16:05 - 2012-05-11 14:51 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\SoftGrid Client
2013-03-09 14:40 - 2012-08-14 21:01 - 00000000 ____D C:\Users\Brockmann\Desktop\Fotos just
2013-03-09 13:19 - 2012-08-14 22:22 - 00000000 ____D C:\Users\Brockmann\Desktop\joyandsorrow
2013-03-09 13:15 - 2012-06-14 12:55 - 00000000 ____D C:\Users\Brockmann\Documents\AidaStella
2013-03-09 13:11 - 2013-03-06 08:20 - 00000000 ____D C:\Users\Brockmann\Desktop\Paychat
2013-03-08 08:01 - 2013-03-08 08:00 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-03-05 07:28 - 2012-09-10 22:12 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\Skype
2013-03-04 23:03 - 2012-05-26 14:24 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-03-03 22:53 - 2013-01-06 13:47 - 00000000 ____D C:\Users\Brockmann\Desktop\Bewerbungen
2013-03-01 13:56 - 2012-05-11 11:53 - 00058016 ____A C:\Users\Brockmann\AppData\Local\GDIPFONTCACHEV1.DAT
2013-03-01 09:06 - 2013-02-15 11:43 - 00000000 ____D C:\Users\Brockmann\Desktop\Steuerberater
2013-03-01 00:02 - 2013-02-14 09:28 - 00000000 ____D C:\Users\Brockmann\Desktop\Mails
2013-02-28 15:58 - 2012-05-14 18:19 - 00000000 ____D C:\Program Files\Lx_cats
2013-02-28 09:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-02-28 07:21 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\zh-HK
2013-02-28 07:21 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\tr-TR
2013-02-28 07:20 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\zh-HK
2013-02-28 07:20 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\tr-TR
2013-02-27 15:31 - 2012-07-26 05:12 - 00691568 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-02-27 15:31 - 2012-07-26 05:12 - 00071024 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-02-27 11:39 - 2012-05-11 11:22 - 00000000 ___AD C:\Users\Brockmann\Desktop\Werbung
2013-02-26 10:12 - 2012-07-14 16:57 - 00000000 ____D C:\Users\Brockmann\Documents\Conny privat
2013-02-26 09:58 - 2013-02-26 09:46 - 00000000 ____D C:\Users\Brockmann\Documents\Technikerkrankenkasse
2013-02-23 15:53 - 2010-11-21 04:47 - 00198926 ____A C:\Windows\PFRO.log
2013-02-23 09:31 - 2013-02-23 09:31 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\ProgramData\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\Program Files (x86)\Avira
2013-02-23 09:21 - 2013-02-23 09:25 - 00129216 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-02-23 09:21 - 2013-02-23 09:25 - 00099912 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-02-23 09:21 - 2013-02-23 09:25 - 00027800 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-02-23 09:18 - 2013-02-23 09:18 - 02086240 ____A C:\Users\Brockmann\Downloads\avira_free_antivirus.exe
2013-02-21 16:20 - 2013-02-21 16:21 - 00262560 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaws.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaw.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\java.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00095648 ____A (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2013-02-21 16:20 - 2013-02-21 16:20 - 00000000 ____D C:\Program Files (x86)\Java
2013-02-21 16:20 - 2012-10-29 14:37 - 00861088 ____A (Oracle Corporation) C:\Windows\SysWOW64\npDeployJava1.dll
2013-02-21 16:20 - 2012-10-29 14:37 - 00782240 ____A (Oracle Corporation) C:\Windows\SysWOW64\deployJava1.dll
2013-02-20 11:53 - 2013-02-20 11:52 - 00000000 ____D C:\Users\Brockmann\Desktop\externe Platte
2013-02-20 11:53 - 2012-05-11 11:22 - 00000000 ___AD C:\Users\Brockmann\Desktop\Fotos online
2013-02-20 09:41 - 2013-02-04 10:42 - 00000000 ____D C:\Users\Brockmann\Documents\Doreen
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\mresreg
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\IN-MEDIAKG
2013-02-20 08:09 - 2013-02-20 08:09 - 00000000 ____D C:\Program Files (x86)\mresreg
2013-02-20 07:53 - 2012-05-11 10:41 - 00000000 ____D C:\Users\Brockmann\AppData\Local\VirtualStore
2013-02-19 07:17 - 2012-05-11 11:24 - 00000000 ____D C:\ProgramData\Adobe
2013-02-14 07:04 - 2009-07-14 05:45 - 00275856 ____A C:\Windows\System32\FNTCACHE.DAT
2013-02-14 00:35 - 2012-05-11 12:06 - 70004024 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-02-11 19:06 - 2012-06-21 05:21 - 00000000 ____D C:\Users\Brockmann\Desktop\Pseuden anlegen

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 11%
Total physical RAM: 4008.62 MB
Available physical RAM: 3530.98 MB
Total Pagefile: 8015.43 MB
Available Pagefile: 7545.29 MB
Total Virtual: 8192 MB
Available Virtual: 8191.86 MB

==================== Partitions =============================

1 Drive c: (System) (Fixed) (Total:250 GB) (Free:156.25 GB) NTFS
2 Drive d: (Data) (Fixed) (Total:195.13 GB) (Free:144.83 GB) NTFS
4 Drive f: (INTENSO) (Removable) (Total:1.88 GB) (Free:1.68 GB) FAT

  Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          465 GB  6144 KB         
  Datentr„ger 1    Online         1928 MB      0 B         

Partitions of Disk 0:
===============

Datentr„ger-ID: F1E2CB29

  Partition ###  Typ               GrӇe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Wiederherstellun  2117 MB  1024 KB
  Partition 0    Erweitert          463 GB  2119 MB
  Partition 2    Logisch            250 GB  2120 MB
  Partition 3    Logisch            195 GB   252 GB
  Partition 4    Wiederherstellun  5000 MB   447 GB
  Partition 5    Wiederherstellun    13 GB   452 GB

==================================================================================

Disk: 0
Partition 1
Typ      : 27
Versteckt: Ja
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3         WINRE        NTFS   Partition   2117 MB  Fehlerfre  Versteck

=========================================================

Disk: 0
Partition 2
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     C   System       NTFS   Partition    250 GB  Fehlerfre  Startpar

=========================================================

Disk: 0
Partition 3
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2     D   Data         NTFS   Partition    195 GB  Fehlerfre          

=========================================================

Disk: 0
Partition 4
Typ      : 27
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 4         HDBR_DRIVER  NTFS   Partition   5000 MB  Fehlerfre  Versteck

=========================================================

Disk: 0
Partition 5
Typ      : 27
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 5         HDBR_OS      NTFS   Partition     13 GB  Fehlerfre  Versteck

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: 00000001

  Partition ###  Typ               GrӇe    Offset
  -------------  ----------------  -------  -------
* Partition 1    Prim„r            1928 MB      0 B

==================================================================================

Disk: 1
Es wurde keine Partition gew„hlt.

Es wurde keine Partition ausgew„hlt.
W„hlen Sie eine Partition, und wiederholen Sie den Vorgang.

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: F1E2CB29

Partition 1:
===========
Hex: 802021002701730E0008000000284200
Active: YES
Type: 27
Size: 2 GB

Partition 2:
===========
Hex: 0022550E0F2FEEFF003842000020F639
Active: NO
Type: OF (Extended)
Size: 464 GB

==============================
Partitions of Disk 1:
===============
Disk ID: 6F20736B

Partition 1:
===========
Hex: 6F74686572206D656469612EFF0D0A44
Active: NO
Type: 72
Size: 544 GB

Partition 2:
===========
Hex: 69736B206572726F72FF0D0A50726573
Active: NO
Type: 65
Size: 923 GB

Partition 3:
===========
Hex: 7320616E79206B657920746F20726573
Active: NO
Type: 79
Size: 923 GB

Partition 4:
===========
Hex: 746172740D0A00000000000000ACCBD8
Active: NO
Type: 0D
Size: -336763289600 byte


Last Boot: 2013-03-05 12:02

==================== End Of Log =============================
         


Alt 09.03.2013, 23:45   #6
ryder
/// TB-Ausbilder
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



verfolge diese Anleitung und wähle aber computer reparieren

So funktioniert es:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.
__________________
--> GVU-Trojaner eingefangen

Alt 09.03.2013, 23:58   #7
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Irgendwie fehlt mir etwas in deiner Antwort und ich nehme mal an, dass ich den Scan nochmal im Abgesicherter Modus mit Netzwerktreibern machen sollte?

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 09-03-2013
Ran by Brockmann at 09-03-2013 23:54:33
Running from F:\
  Service Pack 1 (X64) OS Language: German Standard 
Attention: Could not load system hive.
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.


==================== One Month Created Files and Folders ========

2013-03-09 19:30 - 2013-03-09 19:30 - 00058016 ____A C:\Users\Geliebte\AppData\Local\GDIPFONTCACHEV1.DAT
2013-03-09 18:18 - 2013-03-09 18:18 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Avira
2013-03-09 18:13 - 2013-03-09 18:13 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Apple Computer
2013-03-09 17:59 - 2013-03-09 23:23 - 95023320 ___AT C:\ProgramData\2413865.pad
2013-03-09 17:59 - 2013-03-09 17:59 - 00002802 ____A C:\ProgramData\2413865.js
2013-03-09 17:59 - 2013-03-09 17:59 - 00000153 ____A C:\ProgramData\2413865.reg
2013-03-09 17:59 - 2013-03-09 17:59 - 00000063 ____A C:\ProgramData\2413865.bat
2013-03-09 17:58 - 2013-03-09 17:59 - 00106496 ____A (Microsoft Corporation) C:\Users\Brockmann\5683142.dll
2013-03-08 08:00 - 2013-03-08 08:01 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-03-06 08:20 - 2013-03-09 13:11 - 00000000 ____D C:\Users\Brockmann\Desktop\Paychat
2013-02-28 00:30 - 2013-01-13 22:17 - 00009728 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:17 - 00002560 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:16 - 00010752 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:12 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00005632 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00005632 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-user32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-version-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 22:11 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:35 - 00010752 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:35 - 00009728 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:35 - 00002560 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:32 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 01247744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00005632 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00005632 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-user32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-version-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:31 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-02-28 00:30 - 2013-01-13 21:22 - 01988096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10warp.dll
2013-02-28 00:30 - 2013-01-13 21:20 - 00293376 ____A (Microsoft Corporation) C:\Windows\SysWOW64\dxgi.dll
2013-02-28 00:30 - 2013-01-13 21:09 - 00249856 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10_1core.dll
2013-02-28 00:30 - 2013-01-13 21:08 - 01504768 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll
2013-02-28 00:30 - 2013-01-13 21:08 - 00220160 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10core.dll
2013-02-28 00:30 - 2013-01-13 20:59 - 01643520 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2013-02-28 00:30 - 2013-01-13 20:58 - 01175552 ____A (Microsoft Corporation) C:\Windows\System32\FntCache.dll
2013-02-28 00:30 - 2013-01-13 20:54 - 00604160 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10level9.dll
2013-02-28 00:30 - 2013-01-13 20:53 - 00207872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecsExt.dll
2013-02-28 00:30 - 2013-01-13 20:53 - 00187392 ____A (Microsoft Corporation) C:\Windows\SysWOW64\UIAnimation.dll
2013-02-28 00:30 - 2013-01-13 20:51 - 02565120 ____A (Microsoft Corporation) C:\Windows\System32\d3d10warp.dll
2013-02-28 00:30 - 2013-01-13 20:49 - 00363008 ____A (Microsoft Corporation) C:\Windows\System32\dxgi.dll
2013-02-28 00:30 - 2013-01-13 20:48 - 00161792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10_1.dll
2013-02-28 00:30 - 2013-01-13 20:46 - 01080832 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d10.dll
2013-02-28 00:30 - 2013-01-13 20:43 - 01230336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2013-02-28 00:30 - 2013-01-13 20:38 - 01887232 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-02-28 00:30 - 2013-01-13 20:38 - 00333312 ____A (Microsoft Corporation) C:\Windows\System32\d3d10_1core.dll
2013-02-28 00:30 - 2013-01-13 20:38 - 00296960 ____A (Microsoft Corporation) C:\Windows\System32\d3d10core.dll
2013-02-28 00:30 - 2013-01-13 20:37 - 03419136 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d2d1.dll
2013-02-28 00:30 - 2013-01-13 20:25 - 00245248 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecsExt.dll
2013-02-28 00:30 - 2013-01-13 20:24 - 00648192 ____A (Microsoft Corporation) C:\Windows\System32\d3d10level9.dll
2013-02-28 00:30 - 2013-01-13 20:24 - 00221184 ____A (Microsoft Corporation) C:\Windows\System32\UIAnimation.dll
2013-02-28 00:30 - 2013-01-13 20:20 - 01238528 ____A (Microsoft Corporation) C:\Windows\System32\d3d10.dll
2013-02-28 00:30 - 2013-01-13 20:20 - 00194560 ____A (Microsoft Corporation) C:\Windows\System32\d3d10_1.dll
2013-02-28 00:30 - 2013-01-13 20:15 - 01424384 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll
2013-02-28 00:30 - 2013-01-13 20:10 - 03928064 ____A (Microsoft Corporation) C:\Windows\System32\d2d1.dll
2013-02-28 00:30 - 2013-01-13 20:02 - 00417792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WMPhoto.dll
2013-02-28 00:30 - 2013-01-13 19:34 - 00364544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\XpsGdiConverter.dll
2013-02-28 00:30 - 2013-01-13 19:32 - 00465920 ____A (Microsoft Corporation) C:\Windows\System32\WMPhoto.dll
2013-02-28 00:30 - 2013-01-13 19:09 - 00522752 ____A (Microsoft Corporation) C:\Windows\System32\XpsGdiConverter.dll
2013-02-28 00:30 - 2013-01-13 18:26 - 01158144 ____A (Microsoft Corporation) C:\Windows\SysWOW64\XpsPrint.dll
2013-02-28 00:30 - 2013-01-13 18:05 - 01682432 ____A (Microsoft Corporation) C:\Windows\System32\XpsPrint.dll
2013-02-28 00:30 - 2013-01-04 07:11 - 02776576 ____A (Microsoft Corporation) C:\Windows\System32\msmpeg2vdec.dll
2013-02-28 00:30 - 2013-01-04 07:11 - 02284544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msmpeg2vdec.dll
2013-02-26 09:46 - 2013-02-26 09:58 - 00000000 ____D C:\Users\Brockmann\Documents\Technikerkrankenkasse
2013-02-23 09:31 - 2013-02-23 09:31 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\ProgramData\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\Program Files (x86)\Avira
2013-02-23 09:25 - 2013-02-23 09:21 - 00129216 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-02-23 09:25 - 2013-02-23 09:21 - 00099912 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-02-23 09:25 - 2013-02-23 09:21 - 00027800 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-02-23 09:18 - 2013-02-23 09:18 - 02086240 ____A C:\Users\Brockmann\Downloads\avira_free_antivirus.exe
2013-02-21 16:21 - 2013-02-21 16:20 - 00262560 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaws.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaw.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\java.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00095648 ____A (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2013-02-21 16:20 - 2013-02-21 16:20 - 00000000 ____D C:\Program Files (x86)\Java
2013-02-20 11:52 - 2013-02-20 11:53 - 00000000 ____D C:\Users\Brockmann\Desktop\externe Platte
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\mresreg
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\IN-MEDIAKG
2013-02-20 08:09 - 2013-02-20 08:09 - 00000000 ____D C:\Program Files (x86)\mresreg
2013-02-15 11:43 - 2013-03-01 09:06 - 00000000 ____D C:\Users\Brockmann\Desktop\Steuerberater
2013-02-14 09:28 - 2013-03-01 00:02 - 00000000 ____D C:\Users\Brockmann\Desktop\Mails
2013-02-14 00:30 - 2013-01-09 02:48 - 17812992 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-02-14 00:30 - 2013-01-09 02:22 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-02-14 00:30 - 2013-01-09 02:19 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-02-14 00:30 - 2013-01-09 02:12 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-02-14 00:30 - 2013-01-09 02:12 - 01346048 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-02-14 00:30 - 2013-01-09 02:11 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-02-14 00:30 - 2013-01-09 02:10 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-02-14 00:30 - 2013-01-09 02:09 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-02-14 00:30 - 2013-01-09 02:07 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-02-14 00:30 - 2013-01-09 02:07 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-02-14 00:30 - 2013-01-09 02:07 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-02-14 00:30 - 2013-01-09 02:06 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-02-14 00:30 - 2013-01-09 02:05 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-02-14 00:30 - 2013-01-09 02:04 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-02-14 00:30 - 2013-01-09 02:04 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-02-14 00:30 - 2013-01-09 02:00 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-02-14 00:30 - 2013-01-08 23:23 - 12321280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-02-14 00:30 - 2013-01-08 23:11 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-02-14 00:30 - 2013-01-08 23:09 - 09738240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-02-14 00:30 - 2013-01-08 23:03 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-02-14 00:30 - 2013-01-08 23:03 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-02-14 00:30 - 2013-01-08 23:03 - 01103872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-02-14 00:30 - 2013-01-08 23:01 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-02-14 00:30 - 2013-01-08 23:00 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-02-14 00:30 - 2013-01-08 22:59 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-02-14 00:30 - 2013-01-08 22:58 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-02-14 00:30 - 2013-01-08 22:58 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-02-14 00:30 - 2013-01-08 22:57 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-02-14 00:30 - 2013-01-08 22:56 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-02-14 00:30 - 2013-01-08 22:56 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-02-14 00:30 - 2013-01-08 22:56 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-02-14 00:30 - 2013-01-08 22:53 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-02-13 16:20 - 2013-01-05 06:53 - 05553512 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-02-13 16:20 - 2013-01-05 06:00 - 03967848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2013-02-13 16:20 - 2013-01-05 06:00 - 03913064 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2013-02-13 16:20 - 2013-01-04 06:46 - 00215040 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2013-02-13 16:20 - 2013-01-04 05:51 - 00005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2013-02-13 16:20 - 2013-01-04 04:26 - 03153408 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-02-13 16:20 - 2013-01-04 03:47 - 00025600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2013-02-13 16:20 - 2013-01-04 03:47 - 00014336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2013-02-13 16:20 - 2013-01-04 03:47 - 00007680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2013-02-13 16:20 - 2013-01-04 03:47 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2013-02-13 16:20 - 2013-01-03 07:00 - 01913192 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-02-13 16:20 - 2013-01-03 07:00 - 00288088 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\FWPKCLNT.SYS


==================== One Month Modified Files and Folders =======

2013-03-09 23:42 - 2009-07-14 05:45 - 00021072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-03-09 23:42 - 2009-07-14 05:45 - 00021072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-03-09 23:39 - 2012-05-11 20:20 - 00697526 ____A C:\Windows\System32\perfh007.dat
2013-03-09 23:39 - 2012-05-11 20:20 - 00148532 ____A C:\Windows\System32\perfc007.dat
2013-03-09 23:39 - 2009-07-14 06:13 - 01614852 ____A C:\Windows\System32\PerfStringBackup.INI
2013-03-09 23:35 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-03-09 23:35 - 2009-07-14 05:51 - 00092831 ____A C:\Windows\setupact.log
2013-03-09 23:31 - 2013-03-09 23:31 - 00000000 ____D C:\FRST
2013-03-09 23:23 - 2013-03-09 17:59 - 95023320 ___AT C:\ProgramData\2413865.pad
2013-03-09 23:20 - 2012-05-11 10:24 - 01838266 ____A C:\Windows\WindowsUpdate.log
2013-03-09 22:55 - 2012-05-12 17:34 - 00001136 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764388615-2044592701-2774466867-1000UA.job
2013-03-09 22:55 - 2012-05-12 17:34 - 00001084 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764388615-2044592701-2774466867-1000Core.job
2013-03-09 22:31 - 2013-01-14 15:57 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-03-09 19:30 - 2013-03-09 19:30 - 00058016 ____A C:\Users\Geliebte\AppData\Local\GDIPFONTCACHEV1.DAT
2013-03-09 18:18 - 2013-03-09 18:18 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Avira
2013-03-09 18:13 - 2013-03-09 18:13 - 00000000 ____D C:\Users\Geliebte\AppData\Roaming\Apple Computer
2013-03-09 17:59 - 2013-03-09 17:59 - 00002802 ____A C:\ProgramData\2413865.js
2013-03-09 17:59 - 2013-03-09 17:59 - 00000153 ____A C:\ProgramData\2413865.reg
2013-03-09 17:59 - 2013-03-09 17:59 - 00000063 ____A C:\ProgramData\2413865.bat
2013-03-09 17:59 - 2013-03-09 17:58 - 00106496 ____A (Microsoft Corporation) C:\Users\Brockmann\5683142.dll
2013-03-09 17:58 - 2012-05-11 10:41 - 00000000 ____D C:\users\Brockmann
2013-03-09 17:33 - 2012-09-23 18:29 - 00000000 ____D C:\Users\Brockmann\Desktop\Werbung gesamt
2013-03-09 16:06 - 2012-05-11 11:31 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-03-09 16:05 - 2012-05-11 14:51 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\SoftGrid Client
2013-03-09 14:40 - 2012-08-14 21:01 - 00000000 ____D C:\Users\Brockmann\Desktop\Fotos just
2013-03-09 13:19 - 2012-08-14 22:22 - 00000000 ____D C:\Users\Brockmann\Desktop\joyandsorrow
2013-03-09 13:15 - 2012-06-14 12:55 - 00000000 ____D C:\Users\Brockmann\Documents\AidaStella
2013-03-09 13:11 - 2013-03-06 08:20 - 00000000 ____D C:\Users\Brockmann\Desktop\Paychat
2013-03-08 08:01 - 2013-03-08 08:00 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-03-05 07:28 - 2012-09-10 22:12 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\Skype
2013-03-04 23:03 - 2012-05-26 14:24 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-03-03 22:53 - 2013-01-06 13:47 - 00000000 ____D C:\Users\Brockmann\Desktop\Bewerbungen
2013-03-01 13:56 - 2012-05-11 11:53 - 00058016 ____A C:\Users\Brockmann\AppData\Local\GDIPFONTCACHEV1.DAT
2013-03-01 09:06 - 2013-02-15 11:43 - 00000000 ____D C:\Users\Brockmann\Desktop\Steuerberater
2013-03-01 00:02 - 2013-02-14 09:28 - 00000000 ____D C:\Users\Brockmann\Desktop\Mails
2013-02-28 15:58 - 2012-05-14 18:19 - 00000000 ____D C:\Program Files\Lx_cats
2013-02-28 09:42 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-02-28 07:21 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\zh-HK
2013-02-28 07:21 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\tr-TR
2013-02-28 07:20 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\zh-HK
2013-02-28 07:20 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\tr-TR
2013-02-27 15:31 - 2012-07-26 05:12 - 00691568 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-02-27 15:31 - 2012-07-26 05:12 - 00071024 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-02-27 11:39 - 2012-05-11 11:22 - 00000000 ___AD C:\Users\Brockmann\Desktop\Werbung
2013-02-26 10:12 - 2012-07-14 16:57 - 00000000 ____D C:\Users\Brockmann\Documents\Conny privat
2013-02-26 09:58 - 2013-02-26 09:46 - 00000000 ____D C:\Users\Brockmann\Documents\Technikerkrankenkasse
2013-02-23 15:53 - 2010-11-21 04:47 - 00198926 ____A C:\Windows\PFRO.log
2013-02-23 09:31 - 2013-02-23 09:31 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\ProgramData\Avira
2013-02-23 09:25 - 2013-02-23 09:25 - 00000000 ____D C:\Program Files (x86)\Avira
2013-02-23 09:21 - 2013-02-23 09:25 - 00129216 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-02-23 09:21 - 2013-02-23 09:25 - 00099912 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-02-23 09:21 - 2013-02-23 09:25 - 00027800 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avkmgr.sys
2013-02-23 09:18 - 2013-02-23 09:18 - 02086240 ____A C:\Users\Brockmann\Downloads\avira_free_antivirus.exe
2013-02-21 16:20 - 2013-02-21 16:21 - 00262560 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaws.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\javaw.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00174496 ____A (Oracle Corporation) C:\Windows\SysWOW64\java.exe
2013-02-21 16:20 - 2013-02-21 16:20 - 00095648 ____A (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
2013-02-21 16:20 - 2013-02-21 16:20 - 00000000 ____D C:\Program Files (x86)\Java
2013-02-21 16:20 - 2012-10-29 14:37 - 00861088 ____A (Oracle Corporation) C:\Windows\SysWOW64\npDeployJava1.dll
2013-02-21 16:20 - 2012-10-29 14:37 - 00782240 ____A (Oracle Corporation) C:\Windows\SysWOW64\deployJava1.dll
2013-02-20 11:53 - 2013-02-20 11:52 - 00000000 ____D C:\Users\Brockmann\Desktop\externe Platte
2013-02-20 11:53 - 2012-05-11 11:22 - 00000000 ___AD C:\Users\Brockmann\Desktop\Fotos online
2013-02-20 09:41 - 2013-02-04 10:42 - 00000000 ____D C:\Users\Brockmann\Documents\Doreen
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\mresreg
2013-02-20 08:10 - 2013-02-20 08:10 - 00000000 ____D C:\Users\Brockmann\AppData\Roaming\IN-MEDIAKG
2013-02-20 08:09 - 2013-02-20 08:09 - 00000000 ____D C:\Program Files (x86)\mresreg
2013-02-20 07:53 - 2012-05-11 10:41 - 00000000 ____D C:\Users\Brockmann\AppData\Local\VirtualStore
2013-02-19 07:17 - 2012-05-11 11:24 - 00000000 ____D C:\ProgramData\Adobe
2013-02-14 07:04 - 2009-07-14 05:45 - 00275856 ____A C:\Windows\System32\FNTCACHE.DAT
2013-02-14 00:35 - 2012-05-11 12:06 - 70004024 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-02-11 19:06 - 2012-06-21 05:21 - 00000000 ____D C:\Users\Brockmann\Desktop\Pseuden anlegen

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 29%
Total physical RAM: 4008.62 MB
Available physical RAM: 2824.25 MB
Total Pagefile: 8015.43 MB
Available Pagefile: 6850.15 MB
Total Virtual: 8192 MB
Available Virtual: 8191.89 MB

==================== Partitions =============================

1 Drive c: (System) (Fixed) (Total:250 GB) (Free:156.07 GB) NTFS
2 Drive d: (Data) (Fixed) (Total:195.13 GB) (Free:144.83 GB) NTFS
4 Drive f: (INTENSO) (Removable) (Total:1.88 GB) (Free:1.68 GB) FAT

  Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          465 GB  6144 KB         
  Datentr„ger 1    Online         1928 MB      0 B         

Partitions of Disk 0:
===============

Datentr„ger-ID: F1E2CB29

  Partition ###  Typ               GrӇe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Wiederherstellun  2117 MB  1024 KB
  Partition 0    Erweitert          463 GB  2119 MB
  Partition 2    Logisch            250 GB  2120 MB
  Partition 3    Logisch            195 GB   252 GB
  Partition 4    Wiederherstellun  5000 MB   447 GB
  Partition 5    Wiederherstellun    13 GB   452 GB

==================================================================================

Disk: 0
Partition 1
Typ      : 27
Versteckt: Ja
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3         WINRE        NTFS   Partition   2117 MB  Fehlerfre  Versteck

=========================================================

Disk: 0
Partition 2
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     C   System       NTFS   Partition    250 GB  Fehlerfre  Startpar

=========================================================

Disk: 0
Partition 3
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2     D   Data         NTFS   Partition    195 GB  Fehlerfre          

=========================================================

Disk: 0
Partition 4
Typ      : 27
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 4         HDBR_DRIVER  NTFS   Partition   5000 MB  Fehlerfre  Versteck

=========================================================

Disk: 0
Partition 5
Typ      : 27
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 5         HDBR_OS      NTFS   Partition     13 GB  Fehlerfre  Versteck

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: 00000001

  Partition ###  Typ               GrӇe    Offset
  -------------  ----------------  -------  -------
* Partition 1    Prim„r            1928 MB      0 B

==================================================================================

Disk: 1
Es wurde keine Partition gew„hlt.

Es wurde keine Partition ausgew„hlt.
W„hlen Sie eine Partition, und wiederholen Sie den Vorgang.

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: F1E2CB29

Partition 1:
===========
Hex: 802021002701730E0008000000284200
Active: YES
Type: 27
Size: 2 GB

Partition 2:
===========
Hex: 0022550E0F2FEEFF003842000020F639
Active: NO
Type: OF (Extended)
Size: 464 GB

==============================
Partitions of Disk 1:
===============
Disk ID: 6F20736B

Partition 1:
===========
Hex: 6F74686572206D656469612EFF0D0A44
Active: NO
Type: 72
Size: 544 GB

Partition 2:
===========
Hex: 69736B206572726F72FF0D0A50726573
Active: NO
Type: 65
Size: 923 GB

Partition 3:
===========
Hex: 7320616E79206B657920746F20726573
Active: NO
Type: 79
Size: 923 GB

Partition 4:
===========
Hex: 746172740D0A00000000000000ACCBD8
Active: NO
Type: 0D
Size: -336763289600 byte


Last Boot: 2013-03-05 12:02

==================== End Of Log =============================
         

Alt 10.03.2013, 00:04   #8
ryder
/// TB-Ausbilder
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Du sollst eben nicht abgesichert booten. Aber vom dem Auswahlbildschirm aus "Computer reparieren" wählen. Siehe meine ursprüngliche Anleitung.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 10.03.2013, 00:34   #9
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Nochmal der Reihe nach:

Ich habe den Bootmanager aufgerufen, da steht Computer reparieren. Da kann ich nichts eingeben.

Darunter steht:
Abgesicherter Modus
Abgesicherter Modus Mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung und den habe ich zuletzt gewählt.

Nur "Eingabeaufforderung" wie in deiner Anleitung steht, ist da nirgends ... siehe Anhang.

So blind kann ich doch nicht sein
Miniaturansicht angehängter Grafiken
GVU-Trojaner eingefangen-foto.jpg  

Alt 10.03.2013, 00:36   #10
ryder
/// TB-Ausbilder
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Na wenn du Computer reparieren anwählst sollst du vielleicht auch Enter drücken?
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 10.03.2013, 00:38   #11
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Das habe ich ja zu allererst geschrieben, wenn ich das anklicke, wird mein normaler Startbildschirm geladen, wo ich das entsprechende Benutzerkonto auswählen kann.

Zitat:
Dann erscheint der Startbildschirm, wo ich mein Betriebssystem und Benutzerkonto ausgewählt habe. Ich habe hier an der Stelle das infizierte Konto gewählt (ist das eventuell verkehrt) und dann lädt der Laptop und ich bekomme keine Computerreparaturoptionen angezeigt, sonder die GVU .... dass mein Rechner gesperrt ist etc. pp.

Wenn ich das andere Benutzerkonto auswähle, kommt nur der normale Startbildschirm von Windows. Auch hier sehe ich keine Computerreparaturoptionen.
Ich habe mal gegoogelt, meinst du diese Ansicht, die dann kommen müsste:

hxxp://tipps4you.de/tipp-73-win7.html

Die kommt bei mir nicht

Sobald ich bei "Computer reparieren" Enter drücke, sehe ich unten kurz einen Balken "Windows lädt Datein", der auch was lädt und dann kommt "Windows wird gestart und es erscheint der normale Startbildschirm von Windows.

Geändert von Emanuele (10.03.2013 um 00:58 Uhr)

Alt 10.03.2013, 10:38   #12
ryder
/// TB-Ausbilder
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



In Ordnung. Sowas passiert normalerweise eben nicht.

Also weiter: Du kannst also abgesichert booten?

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

  1. Batch-Datei vorbereiten
    • Drücke Windowstaste + R > notepad (eintippen) > Enter
      Kopiere den folgenden Text vollständig in das Fenster:
      Code:
      ATTFilter
      @echo off
      copy %0\..\combofix.exe "%userprofile%"\desktop 
      "%userprofile%"\desktop\combofix.exe
               
    • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
  2. Combofix kopieren
    • Lade dir Combofix von einem dieser Downloadlinks: Link
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
  3. Start mit Eingabeaufforderung
    • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
    • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
    • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
  4. Laufwerksbuchstaben finden und Combofix starten
    • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
    • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
    • Wenn du es gefunden hast tippe start.bat (Enter)
    • Combofix sollte jetzt starten.
    • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
    • Übergehe alle Warnungen mit OK.
  5. Logfile posten
    • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
    • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
    • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
    • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 10.03.2013, 12:49   #13
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Puuuh ... ich hoffe, dass ich alles richtig gemacht habe.

Was mir bei deinen Ausführugen fehlt, dass ich nicht weiß, ob ich schon wieder als Adminstrator Windows starten kann? Ich bin jetzt über den 2. Benutzer online.

Code:
ATTFilter
ComboFix 13-03-10.02 - Brockmann 10.03.2013  12:32:29.1.4 - x64 MINIMAL
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4009.2802 [GMT 1:00]
ausgeführt von:: c:\users\Brockmann\desktop\ComboFix.exe
Benutzte Befehlsschalter :: \desktop\combofix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\2413865.bat
c:\programdata\2413865.js
c:\programdata\2413865.pad
c:\programdata\2413865.reg
c:\programdata\Roaming
c:\users\Brockmann\5683142.dll
c:\users\Brockmann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-10 bis 2013-03-10  ))))))))))))))))))))))))))))))
.
.
2013-03-09 22:31 . 2013-03-09 22:31	--------	d-----w-	C:\FRST
2013-03-09 17:18 . 2013-03-09 17:18	--------	d-----w-	c:\users\Geliebte\AppData\Roaming\Avira
2013-03-09 17:13 . 2013-03-09 17:13	--------	d-----w-	c:\users\Geliebte\AppData\Roaming\Apple Computer
2013-03-09 06:04 . 2013-02-19 02:57	9162192	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{66C38D0A-37B7-4E5C-AF73-6342D04F1D55}\mpengine.dll
2013-02-23 08:31 . 2013-02-23 08:31	--------	d-----w-	c:\users\Brockmann\AppData\Roaming\Avira
2013-02-23 08:25 . 2013-02-23 08:21	27800	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-02-23 08:25 . 2013-02-23 08:21	129216	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-02-23 08:25 . 2013-02-23 08:21	99912	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-02-23 08:25 . 2013-02-23 08:25	--------	d-----w-	c:\programdata\Avira
2013-02-23 08:25 . 2013-02-23 08:25	--------	d-----w-	c:\program files (x86)\Avira
2013-02-21 15:20 . 2013-02-21 15:20	95648	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2013-02-21 15:20 . 2013-02-21 15:20	--------	d-----w-	c:\program files (x86)\Java
2013-02-20 07:10 . 2013-02-20 07:10	--------	d-----w-	c:\users\Brockmann\AppData\Roaming\mresreg
2013-02-20 07:10 . 2013-02-20 07:10	--------	d-----w-	c:\users\Brockmann\AppData\Roaming\IN-MEDIAKG
2013-02-20 07:09 . 2013-02-20 07:09	--------	d-----w-	c:\program files (x86)\mresreg
2013-02-20 06:51 . 2013-02-20 06:51	--------	d-----w-	c:\users\Brockmann\AppData\Local\Programs
2013-02-13 23:31 . 2013-01-09 01:10	996352	----a-w-	c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-13 23:31 . 2013-01-08 22:01	768000	----a-w-	c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-13 15:20 . 2013-01-05 05:53	5553512	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-02-13 15:20 . 2013-01-05 05:00	3967848	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2013-02-13 15:20 . 2013-01-05 05:00	3913064	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2013-02-13 15:20 . 2013-01-04 03:26	3153408	----a-w-	c:\windows\system32\win32k.sys
2013-02-13 15:20 . 2013-01-04 05:46	215040	----a-w-	c:\windows\system32\winsrv.dll
2013-02-13 15:20 . 2013-01-04 04:51	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2013-02-13 15:20 . 2013-01-04 02:47	25600	----a-w-	c:\windows\SysWow64\setup16.exe
2013-02-13 15:20 . 2013-01-04 02:47	7680	----a-w-	c:\windows\SysWow64\instnm.exe
2013-02-13 15:20 . 2013-01-04 02:47	2048	----a-w-	c:\windows\SysWow64\user.exe
2013-02-13 15:20 . 2013-01-04 02:47	14336	----a-w-	c:\windows\SysWow64\ntvdm64.dll
2013-02-13 15:20 . 2013-01-03 06:00	1913192	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-02-13 15:20 . 2013-01-03 06:00	288088	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-27 14:31 . 2012-07-26 04:12	71024	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-02-27 14:31 . 2012-07-26 04:12	691568	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-02-21 15:20 . 2012-10-29 13:37	861088	----a-w-	c:\windows\SysWow64\npDeployJava1.dll
2013-02-21 15:20 . 2012-10-29 13:37	782240	----a-w-	c:\windows\SysWow64\deployJava1.dll
2013-02-13 23:35 . 2012-05-11 11:06	70004024	----a-w-	c:\windows\system32\MRT.exe
2013-01-17 00:28 . 2010-11-21 03:27	273840	------w-	c:\windows\system32\MpSigStub.exe
2013-01-04 04:43 . 2013-02-13 15:20	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2012-12-16 17:11 . 2012-12-21 11:53	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-21 11:53	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-21 11:53	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-21 11:53	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger (Yahoo!)"="d:\progra~1\Yahoo!\Messenger\YahooMessenger.exe" [2012-02-22 6591800]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"Lexmark 5400 Series"="c:\program files (x86)\Lexmark 5400 Series\fm3032.exe" [2006-11-22 304048]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-12-12 152544]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-02-23 385248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-02-23 27800]
R2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2013-02-23 86752]
R2 Bluetooth Device Monitor;Bluetooth Device Monitor;c:\program files (x86)\Intel\Bluetooth\devmonsrv.exe [2011-03-30 923984]
R2 Bluetooth OBEX Service;Bluetooth OBEX Service;c:\program files (x86)\Intel\Bluetooth\obexsrv.exe [2011-03-30 1001808]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
R2 HWDeviceService64.exe;HWDeviceService64.exe;c:\programdata\DatacardService\HWDeviceService64.exe [2011-03-14 346976]
R2 Internet Manager. RunOuc;Internet Manager. OUC;c:\program files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe [2012-12-06 224096]
R2 Mobile Partner. RunOuc;Mobile Partner. OUC;c:\program files (x86)\Mobile Partner\UpdateDog\ouc.exe [2012-11-30 246112]
R2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-11-09 160944]
R3 Bluetooth Media Service;Bluetooth Media Service;c:\program files (x86)\Intel\Bluetooth\mediasrv.exe [2011-03-30 1321296]
R3 btmaux;Intel Bluetooth Auxiliary Service;c:\windows\system32\DRIVERS\btmaux.sys [2011-03-08 51712]
R3 btmhsf;btmhsf;c:\windows\system32\DRIVERS\btmhsf.sys [2011-03-08 274944]
R3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys [2012-11-30 117248]
R3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\DRIVERS\ew_usbenumfilter.sys [2012-11-30 13952]
R3 ewusbmbb;HUAWEI USB-WWAN miniport;c:\windows\system32\DRIVERS\ewusbwwan.sys [2012-11-30 421376]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [x]
R3 huawei_cdcacm;huawei_cdcacm;c:\windows\system32\DRIVERS\ew_jucdcacm.sys [2012-11-30 98816]
R3 huawei_ext_ctrl;huawei_ext_ctrl;c:\windows\system32\DRIVERS\ew_juextctrl.sys [2012-11-30 28672]
R3 huawei_wwanecm;huawei_wwanecm;c:\windows\system32\DRIVERS\ew_juwwanecm.sys [2012-11-30 212992]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 iBtFltCoex;iBtFltCoex;c:\windows\system32\DRIVERS\iBtFltCoex.sys [2011-03-22 59904]
R3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-14 317440]
R3 MyWiFiDHCPDNS;Wireless PAN DHCP Server;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe [2011-01-05 340240]
R3 rstescu;rstescu;c:\windows\system32\drivers\rstescu.sys [2011-03-25 607256]
R3 rstescu1;rstescu1;c:\windows\system32\drivers\rstescu1.sys [2011-03-25 607256]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-12-28 412776]
R3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2011-10-01 764264]
R3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2011-10-01 268648]
R3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2011-10-01 25960]
R3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2011-10-01 22376]
R3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-09-28 53760]
S0 BMLoad;Bytemobile Boot Time Load Driver;c:\windows\system32\drivers\BMLoad.sys [2012-12-06 16512]
S0 FBIOSDRV;Fujitsu BIOS Driver;c:\windows\System32\Drivers\FBIOSDRV.sys [2009-06-24 21104]
S0 rstfltr;rstfltr;c:\windows\system32\drivers\rstfltr.sys [2011-03-25 22552]
S3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\DRIVERS\FUJ02E3.sys [2006-11-01 7296]
S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [2012-11-30 86016]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2010-05-07 245792]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-09 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-26 14:31]
.
2013-03-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764388615-2044592701-2774466867-1000Core.job
- c:\users\Brockmann\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-12 16:34]
.
2013-03-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2764388615-2044592701-2774466867-1000UA.job
- c:\users\Brockmann\AppData\Local\Google\Update\GoogleUpdate.exe [2012-05-12 16:34]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-04-20 168216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-04-20 392472]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-04-20 416024]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-04-20 11663464]
"IntelWireless"="c:\program files\Common Files\Intel\WirelessCommon\iFrmewrk.exe" [2011-01-05 1933584]
"BTMTrayAgent"="c:\program files (x86)\Intel\Bluetooth\btmshell.dll" [2011-03-30 10372368]
"lxctmon.exe"="c:\program files (x86)\Lexmark 5400 Series\lxctmon.exe" [2006-11-22 291760]
"EzPrint"="c:\program files (x86)\Lexmark 5400 Series\ezprint.exe" [2006-11-22 82864]
"LXCTCATS"="c:\windows\system32\spool\DRIVERS\x64\3\LXCTtime.dll" [2006-11-21 31744]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\Brockmann\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm
IE: Free YouTube to MP3 Converter - c:\users\Brockmann\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{066762FD-E3F1-4C41-87A4-1378E3AE8F19}: NameServer = 10.74.210.210 10.74.210.211
TCP: Interfaces\{0F41E719-0B2E-4E80-BDF1-9432494D14CE}: NameServer = 10.74.210.210 10.74.210.211
TCP: Interfaces\{51EC91D3-15A9-46F9-9CF4-907772C37F7B}: NameServer = 193.189.244.225 193.189.244.206
TCP: Interfaces\{A778B684-6572-4915-B6DE-6C2D5D72F32E}: NameServer = 193.189.244.225 193.189.244.206
TCP: Interfaces\{C4EC0BD2-B9D8-48B8-9F8B-3E9D5CF654A3}: NameServer = 10.74.210.210 10.74.210.211
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/4.0.4.0/GarminAxControl_32.CAB
FF - ProfilePath - c:\users\Brockmann\AppData\Roaming\Mozilla\Firefox\Profiles\5vdl701c.default-1354175649981\
FF - ExtSQL: 2013-01-27 00:54; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\users\Brockmann\AppData\Roaming\Mozilla\Firefox\Profiles\5vdl701c.default-1354175649981\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{EEE6C35C-6118-11DC-9C72-001320C79847} - c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
Wow6432Node-HKCU-Run-c:\users\Brockmann\Desktop\woax_easyfirma_setup.exe - c:\users\Brockmann\Desktop\woax_easyfirma_setup.exe
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-03-10  12:41:31
ComboFix-quarantined-files.txt  2013-03-10 11:41
.
Vor Suchlauf: 12 Verzeichnis(se), 184.701.808.640 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 184.675.500.032 Bytes frei
.
- - End Of File - - B8D777D7506E795D057A640452DA0853
         

Alt 10.03.2013, 13:29   #14
ryder
/// TB-Ausbilder
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:

Wieder ganz normal booten.

Quick-Scan mit Malwarebytes
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.
Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.


Alternativer Link: SecurityCheck Download
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 10.03.2013, 20:32   #15
Emanuele
 
GVU-Trojaner eingefangen - Standard

GVU-Trojaner eingefangen



Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.10.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Brockmann :: BROCKMANN-PC [Administrator]

Schutz: Aktiviert

10.03.2013 13:41:51
mbam-log-2013-03-10 (13-41-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 458592
Laufzeit: 2 Stunde(n), 14 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=abf277ddb3d6214bbc02035fdd026f84
# engine=13349
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-10 07:17:33
# local_time=2013-03-10 08:17:33 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 34089 133610758 26865 0
# compatibility_mode=5893 16776573 100 94 27484 114572903 0 0
# scanned=302941
# found=7
# cleaned=0
# scan_time=14564
sh=A7A0D3602A7F6CB5DF99BB717BF97E8DDEB10573 ft=0 fh=0000000000000000 vn="JS/Agent.NID trojan" ac=I fn="C:\Qoobox\Quarantine\C\ProgramData\2413865.js.vir"
sh=67D86080B4B33DFB662E91021CF61D3A9B5C6C99 ft=1 fh=e6c0873a4bb3ff25 vn="Win32/Reveton.N trojan" ac=I fn="C:\Qoobox\Quarantine\C\Users\Brockmann\5683142.dll.vir"
sh=CBFFBFEFBBA13C3D477844F705D414EB27179D5A ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="C:\Windows.old\Documents and Settings\user\AppData\Local\Anwendungsdaten\Temp\YontooFFClient.xpi"
sh=CBFFBFEFBBA13C3D477844F705D414EB27179D5A ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="C:\Windows.old\Documents and Settings\user\AppData\Local\Temp\YontooFFClient.xpi"
sh=CBFFBFEFBBA13C3D477844F705D414EB27179D5A ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="C:\Windows.old\Documents and Settings\user\Lokale Einstellungen\Temp\YontooFFClient.xpi"
sh=CBFFBFEFBBA13C3D477844F705D414EB27179D5A ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="C:\Windows.old\Users\user\AppData\Local\Temp\YontooFFClient.xpi"
sh=CBFFBFEFBBA13C3D477844F705D414EB27179D5A ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="C:\Windows.old\Users\user\Lokale Einstellungen\Temp\YontooFFClient.xpi"
         

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.59  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Java 7 Update 15  
 Java version out of Date! 
 Adobe Flash Player 11.6.602.171  
 Adobe Reader 10.1.6 Adobe Reader out of Date!  
 Mozilla Firefox (19.0.2) 
 Mozilla Thunderbird (17.0.3) 
 Google Chrome 25.0.1364.152  
 Google Chrome 25.0.1364.97  
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Malwarebytes' Anti-Malware mbamscheduler.exe   
 Internet Manager OnlineUpdate ouc.exe  
 Mobile Partner OnlineUpdate ouc.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Antwort

Themen zu GVU-Trojaner eingefangen
anti, anti vir, benutzer, bestimmte, betriebssystem, daten, datensicherung, dezember, eingefangen, entfernen, exe, firefox, gen, geschäft, gvu virus trojaner computersperre, infizierte, laptop, meldet, meldung, nichts, sachen, testen, trojaner, warnmeldung, webseite, zugriff



Ähnliche Themen: GVU-Trojaner eingefangen


  1. Trojaner eingefangen?
    Log-Analyse und Auswertung - 17.10.2015 (13)
  2. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2013 (10)
  3. GVU Trojaner eingefangen...
    Plagegeister aller Art und deren Bekämpfung - 17.05.2013 (43)
  4. Viren eingefangen (JAVA/dldr.lamar.TP), auch Trojaner (Polizei.Trojaner) gefunden
    Log-Analyse und Auswertung - 07.05.2013 (15)
  5. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (6)
  6. GVU Trojaner eingefangen!
    Log-Analyse und Auswertung - 17.10.2012 (2)
  7. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (17)
  8. Gvu Trojaner 2.07 Eingefangen
    Log-Analyse und Auswertung - 21.08.2012 (6)
  9. GVU Trojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (11)
  10. GVU-Trojaner 2.07 eingefangen
    Log-Analyse und Auswertung - 25.07.2012 (11)
  11. GVU Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (19)
  12. 50€ Trojaner eingefangen
    Log-Analyse und Auswertung - 13.02.2012 (21)
  13. Trojaner eingefangen
    Log-Analyse und Auswertung - 13.02.2012 (1)
  14. Trojaner eingefangen....
    Log-Analyse und Auswertung - 27.04.2011 (1)
  15. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  16. Trojaner eingefangen?
    Log-Analyse und Auswertung - 03.03.2009 (0)
  17. Trojaner VX2 eingefangen
    Log-Analyse und Auswertung - 03.05.2005 (8)

Zum Thema GVU-Trojaner eingefangen - Hallo an Alle, normalerweise arbeite ich mir Firefox und wollte vorhin testen ob eine bestimmte Webseite auch im IE läuft, da das bisher nicht korrekt funktionierte. Kaum hatte ich die - GVU-Trojaner eingefangen...
Archiv
Du betrachtest: GVU-Trojaner eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.