Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner (Windows 7 [64-bit])

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.06.2013, 12:15   #1
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Hallo!
Nach einem panischen Telefonanruf gestern Abend steht nun der "gesperrte" Laptop (Windows 7 Home Prem OA 64-bit) meiner Eltern vor mir.
Eine kurze Suche bei Google ergab, dass sie sich wohl den GVU-Trojaner eingefangen haben, und dass ich mit der Entfernung im Alleingang definitiv überfordert wäre.
Ein Kollege hat mich dann auf dieses Board verwiesen, und ich wäre für jede Art von Hilfestellung bei der Lösung dieses "Problems" mehr als dankbar!

Alt 05.06.2013, 12:16   #2
t'john
/// Helfer-Team
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])





Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.
__________________

__________________

Alt 05.06.2013, 12:48   #3
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Hui, das ging ja fix! Danke erstmal für die prompte Antwort.

Ich habe die CD wie beschrieben erstellt & den infizierten Laptop damit gebootet. Der Ladebalken für "Starting REATOGO-X-PE" ist bis zum Ende durchgelaufen, dann hat das CD-Laufwerk noch ca. 1-2 Minuten gerödelt und der Rechner hat sich mit einem Bluescreen verabschiedet. Was nun?
__________________

Alt 05.06.2013, 14:03   #4
t'john
/// Helfer-Team
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Bitte im BIOS den SATA Modus von AHCI auf ATA/IDE umstellen.
__________________
Mfg, t'john
Das TB unterstützen

Alt 05.06.2013, 14:57   #5
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Okay, jetzt hat es funktioniert.
Nur kam die Frage "Do you wish to load the remote registry" nicht, also konnte ich sie auch nicht mit "Yes" beantworten. ich hoffe mal das ist kein Problem.
Ebenfalls wurde auch keine Datei Extras.txt erstellt; ich habe sogar danach suchen lassen.

Hier ist der Inhalt der OTL.txt:
Code:
ATTFilter
OTL logfile created on: 6/5/2013 5:32:58 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
64bit-Windows 7 Home Premium  (Version = 6.1.7600) - Type = System
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 90.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = E: | %SystemRoot% = E:\Windows | %ProgramFiles% = E:\Program Files (x86)
Drive C: | 100.00 Mb Total Space | 75.27 Mb Free Space | 75.28% Space Free | Partition Type: NTFS
Drive E: | 546.25 Gb Total Space | 437.48 Gb Free Space | 80.09% Space Free | Partition Type: NTFS
Drive F: | 48.83 Gb Total Space | 24.93 Gb Free Space | 51.05% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2012/11/07 19:37:39 | 002,828,408 | ---- | M] (COMODO) [Auto] -- E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdagent)
SRV:64bit: - [2011/02/28 12:27:23 | 000,354,648 | ---- | M] (BullGuard Ltd.) [Disabled] -- E:\Program Files\BullGuard Ltd\BullGuard\BsFileScan.dll -- (BsFileScan)
SRV:64bit: - [2011/02/28 12:27:23 | 000,341,896 | ---- | M] (BullGuard Ltd.) [Disabled] -- E:\Program Files\BullGuard Ltd\BullGuard\BullGuardScanner.exe -- (BsScanner)
SRV:64bit: - [2011/02/28 12:27:23 | 000,233,864 | ---- | M] (BullGuard Ltd.) [Disabled] -- E:\Program Files\BullGuard Ltd\BullGuard\BsMailProxy\BsMailProxy.dll -- (BsMailProxy)
SRV:64bit: - [2011/02/28 12:27:16 | 000,244,864 | ---- | M] (BullGuard Ltd.) [Disabled] -- E:\Program Files\BullGuard Ltd\BullGuard\BsMain.dll -- (BsMain)
SRV:64bit: - [2011/02/28 12:24:05 | 000,425,088 | ---- | M] (BullGuard Ltd.) [Disabled] -- E:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe -- (BsUpdate)
SRV:64bit: - [2011/01/25 05:45:08 | 003,051,848 | ---- | M] (O&O Software GmbH) [Auto] -- E:\Program Files\OO Software\Defrag\oodag.exe -- (OODefragAgent)
SRV:64bit: - [2010/09/22 21:10:10 | 000,057,184 | ---- | M] (Microsoft Corporation) [Disabled] -- E:\Program Files\Windows Live\Mesh\wlcrasvc.exe -- (wlcrasvc)
SRV:64bit: - [2010/08/19 06:49:56 | 000,157,576 | ---- | M] (BullGuard Ltd.) [Disabled] -- E:\Program Files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe -- (BgRaSvc)
SRV:64bit: - [2010/08/19 06:49:48 | 000,073,096 | ---- | M] (BullGuard Ltd.) [Disabled] -- E:\Program Files\BullGuard Ltd\BullGuard\BsBrowser.dll -- (BsBrowser)
SRV:64bit: - [2009/07/13 21:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto] -- E:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2013/05/19 14:56:58 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand] -- E:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013/05/11 06:37:26 | 000,065,640 | ---- | M] (Adobe Systems Incorporated) [Auto] -- E:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2013/03/11 12:42:34 | 001,260,320 | ---- | M] (NVIDIA Corporation) [Auto] -- E:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2013/02/28 12:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Auto] -- E:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2013/01/10 09:35:48 | 000,383,264 | ---- | M] (NVIDIA Corporation) [Auto] -- E:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2011/10/01 03:30:22 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011/10/01 03:30:18 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto] -- E:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2011/06/29 06:56:34 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- E:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/11 04:41:14 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- E:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/03/31 23:11:52 | 000,428,640 | ---- | M] (Logitech Inc.) [Auto] -- E:\Program Files (x86)\Common Files\LogiShrd\LVMVFM\UMVPFSrv.exe -- (UMVPFSrv)
SRV - [2011/02/28 10:20:28 | 000,332,272 | ---- | M] (Google Inc.) [Disabled] -- E:\ProgramData\Partner\Partner.exe -- (Partner Service)
SRV - [2011/02/02 06:00:32 | 000,052,288 | ---- | M] (NOS Microsystems Ltd.) [Disabled] -- E:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010/12/06 07:52:40 | 000,062,464 | ---- | M] () [Disabled] -- E:\Program Files (x86)\watchmi\TvdService.exe -- (watchmi)
SRV - [2010/03/18 17:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto] -- E:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010/03/04 00:16:06 | 000,013,336 | ---- | M] (Intel Corporation) [Auto] -- E:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel(R)
SRV - [2009/12/10 03:48:26 | 002,320,920 | ---- | M] (Intel Corporation) [Auto] -- E:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe -- (UNS) Intel(R)
SRV - [2009/12/10 03:48:24 | 000,268,824 | ---- | M] (Intel Corporation) [Auto] -- E:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe -- (LMS) Intel(R)
SRV - [2009/10/22 21:05:40 | 000,118,560 | ---- | M] (Wistron Corp.) [On_Demand] -- E:\Program Files (x86)\Launch Manager\WisLMSvc.exe -- (WisLMSvc)
SRV - [2009/06/10 17:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled] -- E:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2009/01/26 10:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto] -- E:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)
SRV - [2007/07/24 06:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto] -- E:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2013/03/11 12:42:08 | 000,030,496 | ---- | M] (NVIDIA Corporation) [Kernel | Boot] -- E:\Windows\System32\drivers\nvpciflt.sys -- (nvpciflt)
DRV:64bit: - [2012/01/10 16:28:18 | 012,311,904 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\igdkmd64.sys -- (igfx)
DRV:64bit: - [2011/10/01 03:30:22 | 000,022,376 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\Sftvollh.sys -- (Sftvol)
DRV:64bit: - [2011/10/01 03:30:18 | 000,268,648 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\Sftplaylh.sys -- (Sftplay)
DRV:64bit: - [2011/10/01 03:30:18 | 000,025,960 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- E:\Windows\System32\drivers\Sftredirlh.sys -- (Sftredir)
DRV:64bit: - [2011/10/01 03:30:10 | 000,764,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\Sftfslh.sys -- (Sftfs)
DRV:64bit: - [2011/06/29 06:56:35 | 000,123,784 | ---- | M] (Avira GmbH) [Kernel | System] -- E:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2011/06/29 06:56:35 | 000,088,288 | ---- | M] (Avira GmbH) [File_System | Auto] -- E:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2011/04/01 01:07:54 | 004,184,672 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\lvuvc64.sys -- (LVUVC64) Logitech HD Webcam C270(UVC)
DRV:64bit: - [2011/04/01 01:06:22 | 000,341,856 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\lvrs64.sys -- (LVRS64)
DRV:64bit: - [2011/02/28 12:27:21 | 000,063,712 | ---- | M] (BullGuard Ltd.) [File_System | System] -- E:\Windows\System32\drivers\BdSpy.sys -- (BdSpy)
DRV:64bit: - [2010/10/29 00:07:44 | 000,031,088 | ---- | M] (CyberLink Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\clwvd.sys -- (clwvd)
DRV:64bit: - [2010/09/30 08:00:06 | 000,180,736 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand] -- E:\Windows\system32\DRIVERS\nusb3xhc.sys -- (nusb3xhc)
DRV:64bit: - [2010/09/30 08:00:06 | 000,080,384 | ---- | M] (Renesas Electronics Corporation) [Kernel | On_Demand] -- E:\Windows\system32\DRIVERS\nusb3hub.sys -- (nusb3hub)
DRV:64bit: - [2010/06/21 10:15:54 | 000,287,232 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\IntcDAud.sys -- (IntcDAud) Intel(R)
DRV:64bit: - [2010/05/24 10:46:36 | 000,246,304 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- E:\Windows\System32\Drivers\RtsUStor.sys -- (RSUSBSTOR)
DRV:64bit: - [2010/05/07 12:43:30 | 000,030,304 | ---- | M] () [Kernel | On_Demand] -- E:\Windows\System32\drivers\LVPr2M64.sys -- (LVPr2Mon)
DRV:64bit: - [2010/05/07 12:43:30 | 000,030,304 | ---- | M] () [Kernel | On_Demand] -- E:\Windows\System32\drivers\LVPr2M64.sys -- (LVPr2M64)
DRV:64bit: - [2010/04/01 04:13:36 | 001,100,320 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- E:\Windows\System32\drivers\rtl8192se.sys -- (rtl8192se)
DRV:64bit: - [2010/03/04 12:53:02 | 000,075,816 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\L1C62x64.sys -- (L1C)
DRV:64bit: - [2010/02/26 23:02:12 | 000,158,976 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- E:\Windows\system32\DRIVERS\Impcd.sys -- (Impcd)
DRV:64bit: - [2009/09/17 23:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- E:\Windows\system32\DRIVERS\HECIx64.sys -- (HECIx64) Intel(R)
DRV:64bit: - [2009/06/10 16:38:56 | 000,000,308 | ---- | M] () [File_System | On_Demand] -- E:\Windows\System32\wbem\ntfs.mof -- (Ntfs)
DRV:64bit: - [2009/06/10 16:35:42 | 000,187,392 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand] -- E:\Windows\System32\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2009/06/10 16:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- E:\Windows\system32\DRIVERS\evbda.sys -- (ebdrv)
DRV:64bit: - [2009/06/10 16:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- E:\Windows\system32\DRIVERS\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009/06/10 16:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\b57nd60a.sys -- (b57nd60a)
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Bärbel_ON_E\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
IE - HKU\Bärbel_ON_E\Software\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\Bärbel_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2613550
IE - HKU\Bärbel_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm-Sicherheit Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.7
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.99
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: E:\Windows\System32\Macromed\Flash\NPSWF64_11_7_700_202.dll ()
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.0: E:\Windows\System32\npDeployJava1.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.0: E:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: E:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@adobe.com/FlashPlayer: E:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll ()
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@checkpoint.com/FFApi:  File not found
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: E:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: E:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: E:\Program Files (x86)\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: E:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: E:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@nvidia.com/3DVision: E:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@nvidia.com/3DVisionStreaming: E:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=3: E:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=9: E:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\Wow6432Node\MozillaPlugins\Adobe Reader: E:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@talk.google.com/GoogleTalkPlugin: E:\Users\Bärbel\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll (Google)
FF - HKCU\Software\MozillaPlugins\@talk.google.com/O1DPlugin: E:\Users\Bärbel\AppData\Roaming\Mozilla\plugins\npo1d.dll (Google)
FF - HKCU\Software\MozillaPlugins\@talk.google.com/O3DPlugin: E:\Users\Bärbel\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll ()
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: E:\Users\Bärbel\AppData\Local\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: E:\Users\Bärbel\AppData\Local\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\antiphishing@bullguard: C:\Program Files\BullGuard Ltd\BullGuard\Files32\Antiphishing\FF\antiphishing@bullguard\ [2010/12/03 06:52:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013/05/24 10:38:44 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Thunderbird 17.0.6\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2013/05/27 11:18:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Thunderbird 17.0.6\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 21.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 21.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2013/05/24 10:38:44 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 17.0.6\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2013/05/27 11:18:40 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 17.0.6\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Thunderbird\Extensions\\{0E810812-F4BB-4309-942A-755587587A5E}: C:\Program Files\BullGuard Ltd\BullGuard\Files32\Spamfilter\TbSpamfilter [2010/12/03 06:52:05 | 000,000,000 | ---D | M]
 
[2011/03/01 11:59:33 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Bärbel\AppData\Roaming\Mozilla\Extensions
[2011/03/01 11:59:33 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Bärbel\AppData\Roaming\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2013/05/08 14:49:53 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Bärbel\AppData\Roaming\Mozilla\Firefox\Profiles\o8rwe6ry.default\extensions
[2011/03/02 11:47:13 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- E:\Users\Bärbel\AppData\Roaming\Mozilla\Firefox\Profiles\o8rwe6ry.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2011/05/15 09:49:46 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Bärbel\AppData\Roaming\Mozilla\Firefox\Profiles\o8rwe6ry.default\extensions\nostmp
[2011/01/17 09:41:40 | 000,000,943 | ---- | M] () -- E:\Users\Bärbel\AppData\Roaming\Mozilla\Firefox\Profiles\o8rwe6ry.default\searchplugins\conduit.xml
[2013/05/19 14:57:00 | 000,000,000 | ---D | M] (No name found) -- E:\Program Files (x86)\Mozilla Firefox\extensions
[2013/05/19 14:56:52 | 000,000,000 | ---D | M] (Skype Click to Call) -- E:\Program Files (x86)\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2013/05/19 14:56:59 | 000,000,000 | ---D | M] (No name found) -- E:\Program Files (x86)\Mozilla Firefox\browser\extensions
[2013/05/19 14:56:59 | 000,000,000 | ---D | M] (Default) -- E:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
File not found (No name found) -- 
 
O1 HOSTS File: ([2009/06/10 17:00:26 | 000,000,824 | ---- | M]) - E:\Windows\System32\drivers\etc\hosts
O2:64bit: - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2:64bit: - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - E:\ProgramData\Partner\Partner64.dll (Google Inc.)
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O2:64bit: - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\5.7.8313.1002\swg64.dll (Google Inc.)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2:64bit: - BHO: (BGAntiphishingBHO Class) - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - E:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO.dll (BullGuard Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - E:\ProgramData\Partner\Partner.dll (Google Inc.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - E:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files (x86)\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (BGAntiphishingBHO Class) - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - E:\Program Files\BullGuard Ltd\BullGuard\Files32\Antiphishing\IE\BGAntiphishingIEBHO.dll (BullGuard Ltd.)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3:64bit: - HKU\Bärbel_ON_E\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - E:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O4:64bit: - HKLM..\Run: [COMODO Internet Security] E:\Program Files\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4:64bit: - HKLM..\Run: [OODefragTray] E:\Program Files\OO Software\Defrag\oodtray.exe (O&O Software GmbH)
O4:64bit: - HKLM..\Run: [RtHDVBg] E:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [RtHDVCpl] E:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [avgnt] E:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [HotkeyApp] E:\Program Files (x86)\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LMgrOSD]  File not found
O4 - HKLM..\Run: [LMgrVolOSD] E:\Program Files (x86)\Launch Manager\OSD.exe (Wistron Corp.)
O4 - HKLM..\Run: [LWS] E:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.)
O4 - HKLM..\Run: [NUSB3MON] E:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (Renesas Electronics Corporation)
O4 - HKLM..\Run: [Wbutton] E:\Program Files (x86)\Launch Manager\Wbutton.exe (Wistron Corp.)
O4 - HKLM..\Run: [YouCam Mirage] E:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe (CyberLink)
O4 - HKU\Bärbel_ON_E..\Run: [SpybotSD TeaTimer] E:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKU\LocalService_ON_E..\Run: [Sidebar] E:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_E..\Run: [Sidebar] E:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\UpdatusUser_ON_E..\Run: [Sidebar] E:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin]  File not found
O4 - HKU\UpdatusUser_ON_E..\RunOnce: [HKCU] E:\Windows\SysWOW64\oobe\Info\HKCU.vbs ()
O4 - HKU\UpdatusUser_ON_E..\RunOnce: [mctadmin]  File not found
O4 - HKU\UpdatusUser_ON_E..\RunOnce: [Screensaver] E:\Windows\Web\Wallpaper\MEDION\start.vbs ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9:64bit: - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9:64bit: - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9:64bit: - Extra Button: BullGuard - {27FD17FB-CF63-486b-B2BE-8D8781CBEA01} - E:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BgAntiphishingIE.dll (BullGuard Ltd.)
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra Button: BullGuard - {27FD17FB-CF63-486b-B2BE-8D8781CBEA01} - E:\Program Files\BullGuard Ltd\BullGuard\Files32\Antiphishing\IE\BgAntiphishingIE.dll (BullGuard Ltd.)
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - E:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - E:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000009 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000010 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000021 - E:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - E:\Windows\SysWow64\BGLsp.dll (BullGuard Ltd.)
O13:64bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 10.5.0)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 10.5.0)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.17.2)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 80.69.100.110 192.168.0.1
O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found
O20:64bit: - AppInit_DLLs: (C:\Windows\system32\nvinitx.dll) - E:\Windows\System32\nvinitx.dll (NVIDIA Corporation)
O20:64bit: - AppInit_DLLs: (C:\Windows\system32\guard64.dll) - E:\Windows\System32\guard64.dll (COMODO)
O20 - AppInit_DLLs: (C:\Windows\SysWOW64\nvinit.dll) - E:\Windows\SysWOW64\nvinit.dll (NVIDIA Corporation)
O20 - AppInit_DLLs: (C:\Windows\SysWOW64\guard32.dll) - E:\Windows\SysWOW64\guard32.dll (COMODO)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - E:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - E:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - E:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Bärbel_ON_E Winlogon: Shell - (explorer.exe) - E:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKU\Bärbel_ON_E Winlogon: Shell - (C:\Users\Bärbel\AppData\Roaming\skype.dat) - E:\Users\Bärbel\AppData\Roaming\skype.dat ()
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
64bit: O35 - HKLM\..comfile [open] -- "%1" %* File not found
64bit: O35 - HKLM\..exefile [open] -- "%1" %* File not found
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/05/27 11:18:40 | 000,000,000 | ---D | C] -- E:\Program Files (x86)\Mozilla Thunderbird
[2013/05/20 09:49:29 | 000,000,000 | ---D | C] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2013/05/20 09:49:29 | 000,000,000 | ---D | C] -- E:\Program Files (x86)\Common Files\Skype
[2013/05/19 14:56:51 | 000,000,000 | ---D | C] -- E:\Program Files (x86)\Mozilla Firefox
[4 E:\Windows\SysWow64\*.tmp files -> E:\Windows\SysWow64\*.tmp -> ]
[1 E:\Windows\System32\drivers\*.tmp files -> E:\Windows\System32\drivers\*.tmp -> ]
[1 E:\Windows\*.tmp files -> E:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013/06/05 07:35:08 | 000,067,584 | --S- | M] () -- E:\Windows\bootstat.dat
[2013/06/05 07:34:27 | 000,001,106 | ---- | M] () -- E:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013/06/05 07:33:51 | 3061,911,552 | -HS- | M] () -- E:\hiberfil.sys
[2013/06/04 16:45:15 | 000,009,888 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013/06/04 16:45:15 | 000,009,888 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013/06/04 16:45:06 | 000,000,004 | ---- | M] () -- E:\Users\Bärbel\AppData\Roaming\skype.ini
[2013/06/02 14:44:19 | 000,062,976 | R--- | M] () -- E:\Users\Bärbel\AppData\Roaming\skype.dat
[2013/06/02 14:25:00 | 000,001,110 | ---- | M] () -- E:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013/06/02 14:22:00 | 000,001,124 | ---- | M] () -- E:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3107689066-1648998278-1023176386-1002UA.job
[2013/05/30 06:22:00 | 000,001,072 | ---- | M] () -- E:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3107689066-1648998278-1023176386-1002Core.job
[2013/05/29 11:20:49 | 000,002,118 | ---- | M] () -- E:\Users\Bärbel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Thunderbird.lnk
[2013/05/24 10:38:44 | 000,002,441 | ---- | M] () -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk
[2013/05/24 10:36:23 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- E:\Windows\SysWow64\FlashPlayerApp.exe
[2013/05/24 10:36:23 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- E:\Windows\SysWow64\FlashPlayerCPLApp.cpl
[2013/05/20 09:49:30 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2013/05/20 09:49:29 | 000,002,517 | ---- | M] () -- E:\Users\Public\Desktop\Skype.lnk
[2013/05/20 09:48:08 | 000,002,052 | ---- | M] () -- E:\Users\Bärbel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[4 E:\Windows\SysWow64\*.tmp files -> E:\Windows\SysWow64\*.tmp -> ]
[1 E:\Windows\System32\drivers\*.tmp files -> E:\Windows\System32\drivers\*.tmp -> ]
[1 E:\Windows\*.tmp files -> E:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/06/04 08:00:18 | 000,000,004 | ---- | C] () -- E:\Users\Bärbel\AppData\Roaming\skype.ini
[2013/06/02 13:30:46 | 000,062,976 | R--- | C] () -- E:\Users\Bärbel\AppData\Roaming\skype.dat
[2013/05/20 09:49:29 | 000,002,517 | ---- | C] () -- E:\Users\Public\Desktop\Skype.lnk
[2012/01/10 15:29:54 | 013,904,384 | ---- | C] () -- E:\Windows\SysWow64\ig4icd32.dll
[2011/08/31 13:51:16 | 000,867,020 | ---- | C] () -- E:\Windows\SysWow64\igkrng575.bin
[2011/08/31 13:51:16 | 000,128,204 | ---- | C] () -- E:\Windows\SysWow64\igcompkrng575.bin
[2011/08/31 13:51:16 | 000,105,608 | ---- | C] () -- E:\Windows\SysWow64\igfcg575m.bin
[2011/07/25 11:14:13 | 000,000,000 | ---- | C] () -- E:\Users\Bärbel\AppData\Local\{8C7A00DB-CD94-4901-A5E4-B72A03D13E3C}
[2011/07/09 11:39:42 | 000,009,728 | ---- | C] () -- E:\Users\Bärbel\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/07/06 18:28:33 | 000,000,952 | -HS- | C] () -- E:\ProgramData\KGyGaAvL.sys
[2011/06/09 14:30:33 | 000,000,056 | -H-- | C] () -- E:\ProgramData\ezsidmv.dat
[2011/04/01 01:07:02 | 010,877,272 | ---- | C] () -- E:\Windows\SysWow64\LogiDPP.dll
[2011/04/01 01:07:02 | 000,102,744 | ---- | C] () -- E:\Windows\SysWow64\LogiDPPApp.exe
[2011/04/01 01:06:56 | 000,331,608 | ---- | C] () -- E:\Windows\SysWow64\DevManagerCore.dll
[2011/03/01 13:55:26 | 001,527,912 | ---- | C] () -- E:\Windows\SysWow64\PerfStringBackup.INI
[2010/11/24 20:55:48 | 000,000,000 | ---- | C] () -- E:\Windows\Bench32.INI
[2010/11/24 12:58:39 | 000,072,017 | ---- | C] () -- E:\Windows\SysWow64\Uninstall ALDI SÜD Mah Jong.exe
[2010/11/24 12:48:23 | 000,451,072 | ---- | C] () -- E:\Windows\SysWow64\ISSRemoveSP.exe
[2009/07/14 01:38:36 | 000,067,584 | --S- | C] () -- E:\Windows\bootstat.dat
[2009/07/13 22:35:51 | 000,000,741 | ---- | C] () -- E:\Windows\SysWow64\NOISE.DAT
[2009/07/13 22:34:42 | 000,215,943 | ---- | C] () -- E:\Windows\SysWow64\dssec.dat
[2009/07/13 20:10:29 | 000,043,131 | ---- | C] () -- E:\Windows\mib.bin
[2009/07/13 20:02:54 | 000,245,248 | ---- | C] () -- E:\Windows\SysWow64\DShowRdpFilter.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- E:\Windows\SysWow64\BWContextHandler.dll
[2009/07/13 18:25:04 | 000,197,632 | ---- | C] () -- E:\Windows\SysWow64\ir32_32.dll
[2009/07/13 17:03:59 | 000,364,544 | ---- | C] () -- E:\Windows\SysWow64\msjetoledb40.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- E:\Windows\SysWow64\mlang.dat
 
========== LOP Check ==========
 
[2011/07/09 11:25:07 | 000,000,000 | ---D | M] -- E:\ProgramData\ACD Systems
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- E:\ProgramData\Application Data
[2011/02/28 12:23:35 | 000,000,000 | ---D | M] -- E:\ProgramData\BullGuard
[2011/02/28 13:15:55 | 000,000,000 | ---D | M] -- E:\ProgramData\CheckPoint
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- E:\ProgramData\Desktop
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- E:\ProgramData\Documents
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- E:\ProgramData\Favorites
[2011/02/28 10:20:28 | 000,000,000 | ---D | M] -- E:\ProgramData\Partner
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- E:\ProgramData\Start Menu
[2010/11/30 13:39:51 | 000,000,000 | ---D | M] -- E:\ProgramData\Temp
[2009/07/14 01:08:56 | 000,000,000 | -HSD | M] -- E:\ProgramData\Templates
[2011/02/28 10:21:45 | 000,000,000 | ---D | M] -- E:\ProgramData\TvdPersonal
[2011/03/05 14:38:13 | 000,000,000 | ---D | M] -- E:\ProgramData\VirtualizedApplications
[2013/05/13 11:07:44 | 000,032,640 | ---- | M] () -- E:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
         


Alt 05.06.2013, 18:19   #6
t'john
/// Helfer-Team
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTLpe

  • Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
  • Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
    Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:
ATTFilter
:OTL
SRV - [2011/02/28 10:20:28 | 000,332,272 | ---- | M] (Google Inc.) [Disabled] -- E:\ProgramData\Partner\Partner.exe -- (Partner Service) 
O2:64bit: - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - E:\ProgramData\Partner\Partner64.dll (Google Inc.) 
O2 - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - E:\ProgramData\Partner\Partner.dll (Google Inc.) 
O20 - HKU\Bärbel_ON_E Winlogon: Shell - (C:\Users\Bärbel\AppData\Roaming\skype.dat) - E:\Users\Bärbel\AppData\Roaming\skype.dat () 
[2013/06/04 16:45:06 | 000,000,004 | ---- | M] () -- E:\Users\Bärbel\AppData\Roaming\skype.ini 
[2013/06/02 14:44:19 | 000,062,976 | R--- | M] () -- E:\Users\Bärbel\AppData\Roaming\skype.dat 
:Commands
[emptytemp]
         
  • Klicke jetzt auf den Fix Button.
  • Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
  • Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
    (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
  • Kopiere nun dessen Inhalt hier in deinen Thread.



Normal starten, dann:

2. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
--> GVU-Trojaner (Windows 7 [64-bit])

Alt 05.06.2013, 19:29   #7
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Ich habe, wie im ersten Schritt beschrieben, den OTLpe-Fix durchgeführt, und er ist auch ohne Probleme durcheglaufen.
Als sich dann aber am Ende die Log-Datei geöffnet hat, habe ich all die "Error" Meldungen direkt zu Beginn gesehen, und wollte erstmal nachfragen, ob ich trotzdem neustarten und mit dem 2. & 3. Schritt fortfahren soll, oder ob etwas schiefgelaufen ist.
Sorry, ich habe von all diesen Sachen rein gar keine Ahnung, und will nur auf Nummer sicher gehen, dass ich nichts falsch mache.

Hier ist der Inhalt der log-Datei, die ich oben erwähnt hatte:
Code:
ATTFilter
Error: Unable to interpret <SRV - [2011/02/28 10:20:28 | 000,332,272 | ---- | M] (Google Inc.) [Disabled] -- E:\ProgramData\Partner\Partner.exe -- (Partner Service) > in the current context!
Error: Unable to interpret <O2:64bit: - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - E:\ProgramData\Partner\Partner64.dll (Google Inc.) > in the current context!
Error: Unable to interpret <O2 - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - E:\ProgramData\Partner\Partner.dll (Google Inc.) > in the current context!
Error: Unable to interpret <O20 - HKU\Bärbel_ON_E Winlogon: Shell - (C:\Users\Bärbel\AppData\Roaming\skype.dat) - E:\Users\Bärbel\AppData\Roaming\skype.dat () > in the current context!
Error: Unable to interpret <[2013/06/04 16:45:06 | 000,000,004 | ---- | M] () -- E:\Users\Bärbel\AppData\Roaming\skype.ini > in the current context!
Error: Unable to interpret <[2013/06/02 14:44:19 | 000,062,976 | R--- | M] () -- E:\Users\Bärbel\AppData\Roaming\skype.dat > in the current context!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Bärbel
->Temp folder emptied: 17182215 bytes
->Temporary Internet Files folder emptied: 82571678 bytes
->Java cache emptied: 6232640 bytes
->FireFox cache emptied: 393382136 bytes
->Google Chrome cache emptied: 397943234 bytes
->Flash cache emptied: 227364 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
User: Default User
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 843192 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 458840 bytes
Windows Temp folder emptied: 416240349 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes
 
Total Files Cleaned = 1,254.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06052013_230647
         

Alt 06.06.2013, 18:05   #8
t'john
/// Helfer-Team
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Da hatte sich ein Fehler eingeschlichen...

Fix neu kopieren und neu ausfuehren!
__________________
Mfg, t'john
Das TB unterstützen

Alt 06.06.2013, 18:54   #9
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



OTLpe-Fix hat funktioniert. Ich war in der Lage in den normalen Modus von Windows 7 zu booten, und Malwarebytes Anti-Malware scannt gerade.

Ich habe aber noch eine Frage was Schritt 3 angeht (sorry im Voraus, falls es eine dumme Frage ist): "Schließe alle offenen Programme und Browser" Fallen darunter auch der Virenscanner, Comodo Firewall und sonstige Programme, die beim Start von Windows automatisch geladen wurden, oder nur die Programme, die ich selber "von Hand" gestartet habe?

So, ich habe nun AdwCleaner einfach durchlaufen lassen ohne den Virenscanner & die Firewall zu schließen. Falls das nicht richtig war, kann ich es ja nochmal machen.

Hier der Inhalt der Log-Datei nach dem OTLpe-Fix:
Code:
ATTFilter
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Partner Service deleted successfully.
E:\ProgramData\Partner\Partner.exe moved successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
E:\ProgramData\Partner\Partner64.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
E:\ProgramData\Partner\Partner.dll moved successfully.
Registry value HKEY_USERS\Bärbel_ON_E\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Bärbel\AppData\Roaming\skype.dat deleted successfully.
E:\Users\Bärbel\AppData\Roaming\skype.dat moved successfully.
E:\Users\Bärbel\AppData\Roaming\skype.ini moved successfully.
File E:\Users\Bärbel\AppData\Roaming\skype.dat not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Bärbel
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
 
Total Files Cleaned = 0.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06062013_232726
         
Hier ist der Inhalt der Log-Datei von Malwarebytes Anti-Malware:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.06.06.07

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Bärbel :: BÄRBEL-PC [Administrator]

06.06.2013 23:41:53
mbam-log-2013-06-06 (23-41-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 565289
Laufzeit: 1 Stunde(n), 48 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Bärbel\Downloads\video_hd.zip (Trojan.FakeAlert.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Und hier ist der Inhalt der Log-Datei von AdwCleaner:
Code:
ATTFilter
# AdwCleaner v2.301 - Datei am 07/06/2013 um 01:37:52 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium  (64 bits)
# Benutzer : Bärbel - BÄRBEL-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Bärbel\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Bärbel\AppData\Roaming\Mozilla\Firefox\Profiles\o8rwe6ry.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Program Files (x86)\Conduit
Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\ProgramData\Trymedia
Ordner Gelöscht : C:\Users\Bärbel\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Bärbel\AppData\Roaming\Mozilla\Firefox\Profiles\o8rwe6ry.default\Conduit

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\kt_bho.KettleBho
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\kt_bho.KettleBho.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2613550
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7600.17267

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2613550 --> hxxp://www.google.com

-\\ Mozilla Firefox v21.0 (de)

Datei : C:\Users\Bärbel\AppData\Roaming\Mozilla\Firefox\Profiles\o8rwe6ry.default\prefs.js

Gelöscht : user_pref("CT2613550.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2613550.CTID", "ct2613550");
Gelöscht : user_pref("CT2613550.CurrentServerDate", "5-3-2011");
Gelöscht : user_pref("CT2613550.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2613550.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT2613550.EMailNotifierPollDate", "Sat Mar 05 2011 12:50:58 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602533", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602539", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602545", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602551", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602557", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602563", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602569", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602575", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602581", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602587", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602593", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602599", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602605", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602611", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602617", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602623", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602629", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602545", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602551", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602575", 2);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602605", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602617", 30);
Gelöscht : user_pref("CT2613550.FirstServerDate", "5-3-2011");
Gelöscht : user_pref("CT2613550.FirstTime", true);
Gelöscht : user_pref("CT2613550.FirstTimeFF3", true);
Gelöscht : user_pref("CT2613550.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT2613550.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2613550.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2613550.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2613550.Initialize", true);
Gelöscht : user_pref("CT2613550.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2613550.InstallationAndCookieDataSentCount", 3);
Gelöscht : user_pref("CT2613550.InstallationType", "UnknownIntegration");
Gelöscht : user_pref("CT2613550.InstalledDate", "Sat Mar 05 2011 12:50:58 GMT+0100");
Gelöscht : user_pref("CT2613550.IsGrouping", false);
Gelöscht : user_pref("CT2613550.IsMulticommunity", false);
Gelöscht : user_pref("CT2613550.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2613550.IsOpenUninstallPage", false);
Gelöscht : user_pref("CT2613550.LanguagePackLastCheckTime", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2613550.LastLogin_2.7.1.3", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.LatestVersion", "2.7.1.3");
Gelöscht : user_pref("CT2613550.Locale", "de-de");
Gelöscht : user_pref("CT2613550.LoginCache", 4);
Gelöscht : user_pref("CT2613550.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2613550.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2613550.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2613550.RadioIsPodcast", false);
Gelöscht : user_pref("CT2613550.RadioMediaID", "8546");
Gelöscht : user_pref("CT2613550.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2613550.RadioMenuSelectedID", "EBRadioMenu_CT26135508546");
Gelöscht : user_pref("CT2613550.RadioStationName", "Radio%208");
Gelöscht : user_pref("CT2613550.RadioStationURL", "hxxp://stream.radio8.de:8000/live.m3u");
Gelöscht : user_pref("CT2613550.SavedHomepage", "www.google.de");
Gelöscht : user_pref("CT2613550.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2613550.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2613550.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261[...]
Gelöscht : user_pref("CT2613550.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2613550.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.SearchInNewTabLastCheckTime", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2613550.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2613550.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2613550.SettingsLastCheckTime", "Sat Mar 05 2011 12:50:57 GMT+0100");
Gelöscht : user_pref("CT2613550.SettingsLastUpdate", "1298419708");
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsLastCheck", "Sat Mar 05 2011 12:50:56 GMT+0100");
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2613550.TrusteLinkUrl", "hxxp://trust.conduit.com/EB_ORIGINAL_CTID");
Gelöscht : user_pref("CT2613550.UserID", "UN12873986732325748");
Gelöscht : user_pref("CT2613550.WeatherNetwork", "");
Gelöscht : user_pref("CT2613550.WeatherPollDate", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CT2613550.WeatherUnit", "C");
Gelöscht : user_pref("CT2613550.alertChannelId", "1006347");
Gelöscht : user_pref("CT2613550.clientLogIsEnabled", true);
Gelöscht : user_pref("CT2613550.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2613550.ct2613550.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2613550.ct2613550.FeedLastCount3082739963941193807", 391);
Gelöscht : user_pref("CT2613550.ct2613550.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT2613550.ct2613550.InvalidateCache", false);
Gelöscht : user_pref("CT2613550.ct2613550.LanguagePackLastCheckTime", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.Locale", "de-de");
Gelöscht : user_pref("CT2613550.ct2613550.RadioLastCheckTime", "Sat Mar 05 2011 12:51:00 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2613550.ct2613550.RadioLastUpdateServer", "0");
Gelöscht : user_pref("CT2613550.ct2613550.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_[...]
Gelöscht : user_pref("CT2613550.ct2613550.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2613550.ct2613550.SettingsLastCheckTime", "Sat Mar 05 2011 12:50:58 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.SettingsLastUpdate", "1298419708");
Gelöscht : user_pref("CT2613550.ct2613550.ThirdPartyComponentsLastCheck", "Sat Mar 05 2011 12:50:58 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2613550.myStuffEnabled", true);
Gelöscht : user_pref("CT2613550.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2613550.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2613550.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2613550.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2613550");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2613550");
Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sat Mar 05 2011 12:50:59 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2613550");
Gelöscht : user_pref("browser.search.defaultthis.engineName", "ZoneAlarm-Sicherheit Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&Sea[...]

-\\ Google Chrome v27.0.1453.110

Datei : C:\Users\Bärbel\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [12005 octets] - [07/06/2013 01:37:52]

########## EOF - C:\AdwCleaner[S1].txt - [12066 octets] ##########
         

Außerdem hat sich während Malwarebytes Anti-Malware lief der Avira AntiVir Guard gemeldet, und mitgeteilt, dass er einen "TR/Ransom" im OTL Verzeichnis gefunden hat. Leider wurde keine Log-Datei erstellt, daher habe ich das besagte Verzeichnis nachdem Malwarebytes fertig war nochmal von Avira scannen lassen und eine Log-Datei erstellen lassen. Kann ich die angezeigte befallene Datei einfach von Avira in Quarantäne verschieben bzw. löschen lassen, oder kann es dann zu Problemen mit den anderen hier benutzten Programen kommen?

Hier der Inhalt der Log-Datei von Avira:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 7. Juni 2013  01:43

Es wird nach 4777898 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : Bärbel
Computername   : BÄRBEL-PC

Versionsinformationen:
BUILD.DAT      : 10.2.0.719           Bytes  25.10.2012 10:38:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  29.06.2011 10:56:35
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  29.06.2011 10:56:35
LUKE.DLL       : 10.3.0.5       45416 Bytes  29.06.2011 10:56:35
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  29.06.2011 10:56:35
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 13:16:36
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 14:50:29
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 08:23:49
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 16:01:05
VBASE003.VDF   : 7.11.80.61      2048 Bytes  28.05.2013 16:01:05
VBASE004.VDF   : 7.11.80.62      2048 Bytes  28.05.2013 16:01:05
VBASE005.VDF   : 7.11.80.63      2048 Bytes  28.05.2013 16:01:05
VBASE006.VDF   : 7.11.80.64      2048 Bytes  28.05.2013 16:01:05
VBASE007.VDF   : 7.11.80.65      2048 Bytes  28.05.2013 16:01:05
VBASE008.VDF   : 7.11.80.66      2048 Bytes  28.05.2013 16:01:05
VBASE009.VDF   : 7.11.80.67      2048 Bytes  28.05.2013 16:01:05
VBASE010.VDF   : 7.11.80.68      2048 Bytes  28.05.2013 16:01:05
VBASE011.VDF   : 7.11.80.69      2048 Bytes  28.05.2013 16:01:05
VBASE012.VDF   : 7.11.80.70      2048 Bytes  28.05.2013 16:01:05
VBASE013.VDF   : 7.11.80.71      2048 Bytes  28.05.2013 16:01:05
VBASE014.VDF   : 7.11.81.57    145408 Bytes  29.05.2013 10:39:57
VBASE015.VDF   : 7.11.81.137   130048 Bytes  30.05.2013 10:39:58
VBASE016.VDF   : 7.11.81.255   207360 Bytes  31.05.2013 10:39:58
VBASE017.VDF   : 7.11.82.91    156160 Bytes  03.06.2013 12:02:21
VBASE018.VDF   : 7.11.82.169   220160 Bytes  04.06.2013 12:02:21
VBASE019.VDF   : 7.11.83.27    325632 Bytes  06.06.2013 21:35:15
VBASE020.VDF   : 7.11.83.28      2048 Bytes  06.06.2013 21:35:17
VBASE021.VDF   : 7.11.83.29      2048 Bytes  06.06.2013 21:35:17
VBASE022.VDF   : 7.11.83.30      2048 Bytes  06.06.2013 21:35:17
VBASE023.VDF   : 7.11.83.31      2048 Bytes  06.06.2013 21:35:18
VBASE024.VDF   : 7.11.83.32      2048 Bytes  06.06.2013 21:35:18
VBASE025.VDF   : 7.11.83.33      2048 Bytes  06.06.2013 21:35:19
VBASE026.VDF   : 7.11.83.34      2048 Bytes  06.06.2013 21:35:20
VBASE027.VDF   : 7.11.83.35      2048 Bytes  06.06.2013 21:35:20
VBASE028.VDF   : 7.11.83.36      2048 Bytes  06.06.2013 21:35:20
VBASE029.VDF   : 7.11.83.37      2048 Bytes  06.06.2013 21:35:21
VBASE030.VDF   : 7.11.83.38      2048 Bytes  06.06.2013 21:35:21
VBASE031.VDF   : 7.11.83.78    103936 Bytes  06.06.2013 21:35:21
Engineversion  : 8.2.12.56 
AEVDF.DLL      : 8.1.3.2       102774 Bytes  06.06.2013 21:35:29
AESCRIPT.DLL   : 8.1.4.120     487806 Bytes  06.06.2013 21:35:28
AESCN.DLL      : 8.1.10.4      131446 Bytes  28.03.2013 12:09:09
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 14:32:33
AERDL.DLL      : 8.2.0.118     684408 Bytes  06.06.2013 21:35:27
AEPACK.DLL     : 8.3.2.14      754041 Bytes  06.06.2013 21:35:27
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  12.03.2013 08:45:16
AEHEUR.DLL     : 8.1.4.402    5960058 Bytes  06.06.2013 21:35:25
AEHELP.DLL     : 8.1.27.2      266617 Bytes  06.06.2013 21:35:22
AEGEN.DLL      : 8.1.7.4       442741 Bytes  08.05.2013 17:44:59
AEEXP.DLL      : 8.4.0.34      201079 Bytes  06.06.2013 21:35:30
AEEMU.DLL      : 8.1.3.2       393587 Bytes  17.07.2012 17:11:30
AECORE.DLL     : 8.1.31.2      201080 Bytes  23.02.2013 13:02:29
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:22:47
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  10.01.2011 13:22:56
AVPREF.DLL     : 10.0.3.2       44904 Bytes  29.06.2011 10:56:35
AVREP.DLL      : 10.0.0.10     174120 Bytes  21.12.2011 09:59:22
AVARKT.DLL     : 10.0.26.1     255336 Bytes  29.06.2011 10:56:34
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  29.06.2011 10:56:34
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  10.01.2011 13:22:56
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:01
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  29.06.2011 10:56:34
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  29.06.2011 10:56:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\BRBEL~1\AppData\Local\Temp\d53e5a58.avp
Protokollierung.......................: erweitert
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 7. Juni 2013  01:43

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\_OTL'
C:\_OTL\MovedFiles\
C:\_OTL\MovedFiles\06062013_232726\E_ProgramData\Partner\
C:\_OTL\MovedFiles\06062013_232726\E_Users\Bärbel\AppData\Roaming\
C:\_OTL\MovedFiles\06062013_232726\E_Users\Bärbel\AppData\Roaming\skype.dat
  [FUND]      Ist das Trojanische Pferd TR/Ransom.6297854

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\06062013_232726\E_Users\Bärbel\AppData\Roaming\
C:\_OTL\MovedFiles\06062013_232726\E_Users\Bärbel\AppData\Roaming\skype.dat
  [FUND]      Ist das Trojanische Pferd TR/Ransom.6297854
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Freitag, 7. Juni 2013  01:44
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

     10 Verzeichnisse wurden überprüft
      8 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      7 Dateien ohne Befall
      0 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise
         

Geändert von WilliamBlake (06.06.2013 um 19:02 Uhr)

Alt 07.06.2013, 13:01   #10
t'john
/// Helfer-Team
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).





danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Alt 07.06.2013, 17:26   #11
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Sorry wegen der späten Antwort, aber es wäre kriminell gewesen meinen Nachmittag bei diesem schönen Wetter nicht im Park zu verbringen.
Und zunächst dir und deinen Kollegen, die ihr einen Teil eurer Freizeit opfert, um armen Socken wie mir zu helfen, ein dickes Danke!


Hier ist der Inhalt der aswMBR.txt:
Code:
ATTFilter
aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-06-07 21:48:26
-----------------------------
21:48:26.339    OS Version: Windows x64 6.1.7600 
21:48:26.339    Number of processors: 4 586 0x2505
21:48:26.339    ComputerName: BÄRBEL-PC  UserName: Bärbel
21:48:27.072    Initialize success
21:51:07.686    AVAST engine defs: 13060700
21:52:14.563    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
21:52:14.579    Disk 0 Vendor: SAMSUNG_ 2AJ1 Size: 610480MB BusType: 3
21:52:15.031    Disk 0 MBR read successfully
21:52:15.031    Disk 0 MBR scan
21:52:15.063    Disk 0 unknown MBR code
21:52:15.078    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
21:52:15.094    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       559355 MB offset 206848
21:52:15.141    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        50000 MB offset 1145765888
21:52:15.187    Disk 0 Partition 4 00     12  Compaq diag NTFS         1023 MB offset 1248165888
21:52:15.531    Disk 0 scanning C:\Windows\system32\drivers
21:52:55.092    Service scanning
21:53:22.111    Modules scanning
21:53:22.111    Disk 0 trace - called modules:
21:53:22.143    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
21:53:22.143    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800491d060]
21:53:22.158    3 CLASSPNP.SYS[fffff88001b3043f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80042c3050]
21:53:23.079    AVAST engine scan C:\Windows
21:53:25.278    AVAST engine scan C:\Windows\system32
21:57:30.745    AVAST engine scan C:\Windows\system32\drivers
21:57:43.724    AVAST engine scan C:\Users\Bärbel
22:06:11.364    AVAST engine scan C:\ProgramData
22:09:01.732    Scan finished successfully
22:09:50.466    Disk 0 MBR has been saved successfully to "C:\Users\Bärbel\Desktop\MBR.dat"
22:09:50.466    The log file has been saved successfully to "C:\Users\Bärbel\Desktop\aswMBR.txt"
         

Und hier ist der Inhalt der checkup.txt:
Code:
ATTFilter
 Results of screen317's Security Check version 0.99.64  
 Windows 7  x64   
 Out of date service pack!! 
``````````````Antivirus/Firewall Check:`````````````` 
AntiVir Desktop       
BullGuard Antivirus   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Spybot - Search & Destroy 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java(TM) 6 Update 31  
 Java 7 Update 21  
 Adobe Flash Player 10 Flash Player out of Date! 
 Adobe Flash Player 11.7.700.202  
 Adobe Reader XI  
 Mozilla Firefox (21.0) 
 Mozilla Thunderbird (17.0.6) 
 Google Chrome 27.0.1453.110  
 Google Chrome 27.0.1453.94  
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Comodo Firewall cmdagent.exe 
 Comodo Firewall cfp.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Alt 08.06.2013, 18:51   #12
t'john
/// Helfer-Team
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Deinstalliere:
Java(TM) 6 Update 31



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 08.06.2013, 19:25   #13
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



So, ich habe die besagte Java Version "Java(TM) 6 Update 31" und zwei weitere ältere Java Versionen, die noch unter "Systemsteuerung>Programme deinstallieren" angezeigt wurden deinstalliert. Die einzige verbleibende Version ist nun Java 7 Update 21.

Das hier hat der Plugincheck ausgespuckt:
Code:
ATTFilter
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

    Firefox 21.0 ist aktuell

    Flash (11,7,700,202) ist aktuell.

    Java (1,7,0,21) ist aktuell.

    Adobe Reader 11,0,3,37 ist aktuell.
         
Sieht doch schonmal gut aus, oder?

Sorry, ich hatte den zweiten Teil deiner Antwort irgendwie komplett übersehen. Werde Java 7 unter Firefox & Chrome umgehend deaktivieren.

So, hier ist der Plugincheck nachdem ich Java 7 deaktiviert habe:
Code:
ATTFilter
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

    Firefox 21.0 ist aktuell

    Flash (11,7,700,202) ist aktuell.

    Java ist nicht Installiert oder nicht aktiviert.

    Adobe Reader 11,0,3,37 ist aktuell.
         

Geändert von WilliamBlake (08.06.2013 um 19:36 Uhr)

Alt 11.06.2013, 09:00   #14
t'john
/// Helfer-Team
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.




Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.06.2013, 11:13   #15
WilliamBlake
 
GVU-Trojaner (Windows 7 [64-bit]) - Standard

GVU-Trojaner (Windows 7 [64-bit])



Super!
Vielen Dank nochmals für deine Hilfe; auch im Namen meiner Eltern, deren Laptop du hier gerettet hast! Ich werden ihnen auf jeden Fall mit dem Zaunpfahl zuwinken, dass die Möglichkeit einer Spende besteht.

Antwort

Themen zu GVU-Trojaner (Windows 7 [64-bit])
64-bit, abend, alleingang, anruf, board, dankbar, definitiv, eingefangen, ellung, entfernung, gefangen, gen, gesperrte, gestern, google, hilfestellung, home, kollege, kurze, laptop, lösung, problems, suche, telefonanruf, windows, windows 7



Ähnliche Themen: GVU-Trojaner (Windows 7 [64-bit])


  1. Windows 7 SP 1 mit Trojaner infiziert - Windows Update Fehlercode 8007002
    Log-Analyse und Auswertung - 11.09.2015 (60)
  2. Windows 7: Trojaner - Windows Updates, Firewall defekt
    Log-Analyse und Auswertung - 20.03.2015 (24)
  3. Windows 7: Nach BKA Trojaner Fehlermeldung beim Starten, Windows Sicherheitscenter kann nicht gestartet werden
    Log-Analyse und Auswertung - 18.11.2014 (9)
  4. Windows-Verschlüsselungs-Trojaner unter Windows 7 auf einem MAC
    Log-Analyse und Auswertung - 14.06.2012 (3)
  5. windows verschlüsselungs Flirtfever-Trojaner, Windows XP
    Log-Analyse und Auswertung - 13.06.2012 (1)
  6. Nach BKA Trojaner, Windows Firewall deaktiviert sich (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  7. Willkomen bei Windows Update, Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 06.06.2012 (1)
  8. UKash Windows Secure Trojaner mit Windows XP eingefangen
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  9. Windows Notfall Sicherheits Update Center - Windows XP Trojaner
    Log-Analyse und Auswertung - 21.05.2012 (2)
  10. Windows-Verschlüsselungs-Trojaner unter Windows XP
    Log-Analyse und Auswertung - 16.05.2012 (9)
  11. Windows 7 (64bit) Virus/Trojaner (evtl. Windows Verschlüsselungs Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (19)
  12. Windows-Verschlüsselungs Trojaner Windows 7 Starter
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (10)
  13. Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (12)
  14. "Willkommen bei Windows Update Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 27.04.2012 (3)
  15. 'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !
    Log-Analyse und Auswertung - 16.03.2012 (5)
  16. Windows Vista Home Premium 32-Bit Trojaner Windows gesperrt 50€ zahlen.
    Log-Analyse und Auswertung - 23.01.2012 (1)
  17. Trojaner Fake.AV c:\Users\Sexgott\AppData\Roaming\microsoft\Windows\start menu\Programs\windows reco
    Mülltonne - 28.04.2011 (1)

Zum Thema GVU-Trojaner (Windows 7 [64-bit]) - Hallo! Nach einem panischen Telefonanruf gestern Abend steht nun der "gesperrte" Laptop (Windows 7 Home Prem OA 64-bit) meiner Eltern vor mir. Eine kurze Suche bei Google ergab, dass sie - GVU-Trojaner (Windows 7 [64-bit])...
Archiv
Du betrachtest: GVU-Trojaner (Windows 7 [64-bit]) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.