Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.07.2013, 19:23   #1
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Hallo Trojaner-Boardler,

ich habe mir vorige Woche den GVU-Trojaner eingefangen. Avira hat das auch sofort gemeldet. Kurzzeitig war der Rechner zwar blockiert, ich konnte aber mit der "Desinfec´t" CD und den enthaltenen Programmen von Avira, Bit-defender und Kaspersky im abgesicherten Modus den Rechner wieder freibekommen. Ich habe dann nochmal alle Programme wie meine installierte Avira-Software oder Malewarebytes drüberlaufen lassen und auch etliche Einträge gefunden und jeweils gelöscht bzw in Quarantäne verschoben. Der Rechner fährt auch wieder normal hoch, es kommen aber immer wieder Meldungen beim Ausführen oder Updateversuchen von Programmen wie "ShellExecuteEx schlug fehl; Code 126. Das angegebene Modul wurde nicht gefunden." oder "Fehler beim Laden von C:\PROGRA 2\cobzdco.dat. Das angegebene Modul wurde nicht gefunden". Da ich mittlerweile das Programm "Malewarebytes" versehentlich gelöscht habe, kann ich es jetzt nicht mehr ausführen. Ich kann das Programm zwar herunterladen, aber es kommt die Meldung, dass die -exe Datei zur Ausführung nicht gefunden wird. So ist es bei allen Programmen, die ich herunterladen wollte. Deswegen kann ich z. B. auch die von Euch angegebenen Programme wie Defogger oder OTL nicht starten. Sind befinden sich zwar auf dem Desktop, werden aber nicht ausgeführt.
Ich muss allerdings erwähnen, dass ich bei diesen Problemen ein totaler Laie bin und mir beim Durchlesen Euerer Bearbeitungen der einzelnen Problemfälle schon schwindlig geworden ist.
Aber nach Befragung von vielen Bekannten und sogenannten "Experten" weiss ich keine andere Möglichkeit und wende mich jetzt an Euch mit der Hoffnung hier Hilfe zu bekommen.
Sieht alles recht professionell an und ich bin der Meinung, Ihr wißt, war Ihr tut.
Bestimmt kann mir jemand helfen.

Grüße aus Bayern

Hallo, hab ich noch vergessen:

System: Windows Vista Home Premium
32 Bit
Arbeitsspeicher 2 GB
Intel Core 2 CPU 1,8 GHz

Auch die Systemwiederherstellung funktioniert nicht mehr. Auch hier kommt eine Fehlermeldung.

Alt 02.07.2013, 19:44   #2
ryder
/// TB-Ausbilder
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.




Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:
Bitte lesen:
Regeln für die Bereinigung
  • Illegal genutzte Software
    Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
  • Keine Garantie
    Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
  • Keine Alleingänge
    Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
  • Aufmerksam lesen und nachfragen
    Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
  • Richtig antworten
    • Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
    • Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss. Denke bitte aber auch daran, dass wir diesen Thread und deine Logfiles nachträglich nicht editieren werden! (siehe LINK)
    • Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
      [CODE] (Logfile) [/CODE]
    • Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten. (Hier gibt es eine Anleitung)
  • Keine privaten Nachrichten
    Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
  • Wie läuft die Bereinigung ab?
    Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).
__________________

__________________

Alt 02.07.2013, 23:56   #3
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 02-07-2013
Ran by SYSTEM on 03-07-2013 00:40:41
Running from F:\
Windows Vista (TM) Home Premium (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet004
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] RtHDVCpl.exe [x]
HKLM\...\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide [1008184 2008-01-19] (Microsoft Corporation)
HKLM\...\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe [16896 2007-02-09] ( )
HKLM\...\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe [1904640 2009-05-07] (AVM Berlin)
HKLM\...\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" [37888 2009-07-01] ()
HKLM\...\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart [86016 2007-06-16] (NVIDIA Corporation)
HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [8466432 2007-06-16] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit [81920 2007-06-16] (NVIDIA Corporation)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [40368 2011-05-27] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [937920 2011-03-29] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345144 2013-07-01] (Avira Operations GmbH & Co. KG)
HKU\Werner Herz\...\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe [ 2008-01-19] (Microsoft Corporation)
HKU\Werner Herz\...\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [x]
HKU\Werner Herz\...\Run: [Google Update] "C:\Users\Werner Herz\AppData\Local\Google\Update\GoogleUpdate.exe" /c [ 2012-02-03] (Google Inc.)
HKU\Werner Herz\...\Run: []  [x]
Startup: C:\ProgramData\Start Menu\Programs\Startup\Microsoft Office.lnk
ShortcutTarget: Microsoft Office.lnk -> C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG)
S2 AntUpdaterService; C:\Program Files\Ant.com\IE add-on\AntUpdaterService.exe [520216 2011-06-29] (Ant.com)
S2 AVM WLAN Connection Service; C:\Program Files\avmwlanstick\WlanNetService.exe [368640 2009-05-07] (AVM Berlin)
S3 FirebirdServerMAGIXInstance; C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [1527900 2005-11-17] (MAGIX®)
S2 gupdate1c9aa2ea0d29a80; C:\Program Files\Google\Update\GoogleUpdate.exe [133104 2009-03-21] (Google Inc.)
S2 RichVideo; C:\Program Files\CyberLink\Shared Files\RichVideo.exe [272024 2006-12-19] ()
S2 srvcPVR; C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [1600000 2007-05-11] (Buhl Data Service GmbH)
S2 x10nets; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [20480 2001-11-12] (X10)
S3 Appinfo; %SystemRoot%\System32\appinfo.dll [x]

==================== Drivers (Whitelisted) ====================

S3 3xHybrid; C:\Windows\System32\DRIVERS\3xHybrid.sys [1136600 2007-01-08] (Philips Semiconductors GmbH)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-03-29] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-03-29] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-03-29] (Avira Operations GmbH & Co. KG)
S3 avmeject; C:\Windows\System32\drivers\avmeject.sys [4352 2009-05-07] (AVM Berlin)
S3 FET5X86V; C:\Windows\System32\DRIVERS\fetnd5bv.sys [42496 2007-04-17] (VIA Technologies, Inc.              )
S3 FETNDIS; C:\Windows\System32\DRIVERS\fetnd5.sys [45568 2006-11-02] (VIA Technologies, Inc.              )
S3 FWLANUSB; C:\Windows\System32\DRIVERS\fwlanusb.sys [265088 2009-05-07] (AVM GmbH)
S3 Ph3xIB32; C:\Windows\System32\DRIVERS\Ph3xIB32.sys [1131136 2007-04-03] (Philips Semiconductors GmbH)
S3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-09-09] (RapidSolution Software AG)
S3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2011-09-09] (RapidSolution Software AG)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 tbhsd; C:\Windows\System32\drivers\tbhsd.sys [37920 2009-11-16] (RapidSolution Software AG)
S0 ViBus; C:\Windows\System32\DRIVERS\ViBus.sys [16896 2007-03-26] (VIA Technologies, Inc.)
S0 ViPrt; C:\Windows\System32\DRIVERS\ViPrt.sys [52224 2007-03-26] (VIA Technologies, Inc.)
S3 X10Hid; C:\Windows\System32\Drivers\x10hid.sys [13976 2006-11-17] (X10 Wireless Technology, Inc.)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
S0 videX32; system32\DRIVERS\videX32.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-03 00:40 - 2013-07-03 00:40 - 00000000 ____D C:\FRST
2013-07-02 22:53 - 2013-07-02 22:53 - 00000796 ____A C:\Windows\setupact.log
2013-07-02 22:53 - 2013-07-02 22:53 - 00000000 ____A C:\Windows\setuperr.log
2013-07-02 18:40 - 2013-07-02 18:40 - 00602112 ____A (OldTimer Tools) C:\Users\Werner Herz\Desktop\OTL.exe
2013-07-02 18:35 - 2013-07-02 18:36 - 00050477 ____A C:\Users\Werner Herz\Desktop\Defogger.exe
2013-06-29 22:51 - 2013-06-30 03:32 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0
2013-06-29 20:39 - 2013-06-29 20:39 - 299798528 ____A C:\Users\Werner Herz\Downloads\kav_rescue_10.iso
2013-06-29 20:29 - 2013-06-29 20:30 - 189865720 ____A (Max Secure Software                                         ) C:\Users\Werner Herz\Desktop\MaxSpywaredetector.exe
2013-06-29 20:24 - 2013-06-29 20:24 - 00000000 ____D C:\Users\Werner Herz\AppData\Local\Max Secure Software
2013-06-29 20:23 - 2013-06-29 20:24 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\GetRightToGo
2013-06-29 19:11 - 2013-06-29 19:11 - 04378864 ____A (Piriform Ltd) C:\Users\Werner Herz\Desktop\ccsetup402.exe
2013-06-29 19:02 - 2013-06-23 14:59 - 95023320 ___AT C:\ProgramData\ocdzboc.dat
2013-06-29 17:18 - 2013-06-30 15:53 - 10285040 ____A (Malwarebytes Corporation                                    ) C:\Users\Werner Herz\Downloads\mbam-setup-1.75.0.1300.exe
2013-06-29 11:35 - 2013-06-29 11:35 - 00005434 ____A C:\Users\Werner Herz\Documents\cc_20130629_123507.reg
2013-06-29 11:02 - 2013-06-29 11:32 - 00000000 ____D C:\ProgramData\SpeedMaxPc
2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\SpeedMaxPc
2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\DriverCure
2013-06-28 13:35 - 2013-06-28 13:35 - 00004514 ____A C:\Users\Werner Herz\Documents\cc_20130628_143520.reg
2013-06-27 17:06 - 2013-06-27 17:06 - 00000206 ____A C:\Users\Werner Herz\Documents\cc_20130627_180612.reg
2013-06-27 17:00 - 2013-06-27 17:00 - 00003306 ____A C:\Users\Werner Herz\Documents\cc_20130627_180014.reg
2013-06-27 16:45 - 2013-06-28 12:31 - 00000057 ____A C:\Users\Werner Herz\AppData\Roaming\mbam.context.scan
2013-06-27 16:37 - 2013-06-27 16:37 - 00000123 ____A C:\Users\Public\sdelevURL.tmp
2013-06-27 00:03 - 2013-06-27 00:03 - 00001708 ____A C:\Users\Werner Herz\Documents\cc_20130627_010344.reg
2013-06-26 21:04 - 2013-06-26 21:05 - 00000004 ____A C:\Users\Werner Herz\AppData\Roaming\skype.ini
2013-06-25 17:11 - 2013-06-25 17:11 - 00030290 ____A C:\Users\Werner Herz\Documents\duplicate.txt
2013-06-25 17:00 - 2013-06-25 17:00 - 00012076 ____A C:\Users\Werner Herz\Documents\cc_20130625_180045.reg
2013-06-23 08:40 - 2013-06-23 14:59 - 95023320 ___AT C:\ProgramData\ocdzboc.pad
2013-06-23 08:40 - 2013-06-23 14:58 - 00000000 ____A C:\ProgramData\as98213.txt
2013-06-12 19:04 - 2013-05-17 04:50 - 01212928 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 19:04 - 2013-05-17 04:50 - 00916480 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 19:04 - 2013-05-17 04:50 - 00105984 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-06-12 19:04 - 2013-05-17 04:48 - 00206848 ____A (Microsoft Corporation) C:\Windows\System32\occache.dll
2013-06-12 19:04 - 2013-05-17 04:46 - 06014464 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 19:04 - 2013-05-17 04:46 - 00611840 ____A (Microsoft Corporation) C:\Windows\System32\mstime.dll
2013-06-12 19:04 - 2013-05-17 04:46 - 00067072 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-06-12 19:04 - 2013-05-17 04:45 - 00630272 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 19:04 - 2013-05-17 04:45 - 00055296 ____A (Microsoft Corporation) C:\Windows\System32\msfeedsbs.dll
2013-06-12 19:04 - 2013-05-17 04:45 - 00043520 ____A (Microsoft Corporation) C:\Windows\System32\licmgr10.dll
2013-06-12 19:04 - 2013-05-17 04:45 - 00025600 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 11111424 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 02004992 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 01469440 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-06-12 19:04 - 2013-05-17 04:44 - 00387584 ____A (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\iepeers.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 19:04 - 2013-05-17 04:44 - 00055808 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 19:04 - 2013-05-17 03:06 - 00385024 ____A (Microsoft Corporation) C:\Windows\System32\html.iec
2013-06-12 19:04 - 2013-05-17 01:20 - 00133632 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-06-12 19:04 - 2013-05-17 01:19 - 00174080 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 19:04 - 2013-05-17 01:18 - 01638912 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 19:04 - 2013-05-17 01:18 - 00013312 ____A (Microsoft Corporation) C:\Windows\System32\msfeedssync.exe
2013-06-12 19:04 - 2013-05-08 05:37 - 00905576 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 19:04 - 2013-05-02 23:03 - 03603832 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-06-12 19:04 - 2013-05-02 23:03 - 03551096 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-06-12 19:04 - 2013-05-02 05:04 - 00443904 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 19:04 - 2013-05-02 05:03 - 00037376 ____A (Microsoft Corporation) C:\Windows\System32\printcom.dll
2013-06-12 19:04 - 2013-04-24 05:00 - 00985600 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 19:04 - 2013-04-24 05:00 - 00133120 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 19:04 - 2013-04-24 05:00 - 00098304 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 19:04 - 2013-04-24 05:00 - 00041984 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 19:04 - 2013-04-24 02:46 - 00812544 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 19:04 - 2013-04-17 13:30 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-03 19:47 - 2013-06-03 19:50 - 00000022 ____A C:\Users\Werner Herz\Downloads\SciLorsGrooveUnlockerBv0.3.3.zip
2013-06-03 19:43 - 2013-06-03 19:43 - 05375512 ____A C:\Users\Werner Herz\Downloads\Nicht bestätigt 937597.crdownload

==================== One Month Modified Files and Folders ========

2013-07-03 00:40 - 2013-07-03 00:40 - 00000000 ____D C:\FRST
2013-07-02 23:09 - 2012-06-27 15:57 - 01820553 ____A C:\Windows\WindowsUpdate.log
2013-07-02 23:09 - 2006-11-02 14:01 - 00032530 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-02 23:09 - 2006-11-02 14:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-02 23:09 - 2006-11-02 13:47 - 00003296 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-02 23:09 - 2006-11-02 13:47 - 00003296 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-02 23:05 - 2007-07-20 16:40 - 00000430 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{E7E3DCEC-8A47-46EB-B227-FBA51D1E7BA1}.job
2013-07-02 22:55 - 2006-11-02 11:33 - 01589274 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-02 22:53 - 2013-07-02 22:53 - 00000796 ____A C:\Windows\setupact.log
2013-07-02 22:53 - 2013-07-02 22:53 - 00000000 ____A C:\Windows\setuperr.log
2013-07-02 22:46 - 2009-07-02 17:03 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-02 22:11 - 2012-02-10 20:40 - 00001144 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003UA.job
2013-07-02 21:11 - 2012-02-10 20:40 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003Core.job
2013-07-02 18:40 - 2013-07-02 18:40 - 00602112 ____A (OldTimer Tools) C:\Users\Werner Herz\Desktop\OTL.exe
2013-07-02 18:36 - 2013-07-02 18:35 - 00050477 ____A C:\Users\Werner Herz\Desktop\Defogger.exe
2013-07-02 16:46 - 2009-07-02 17:03 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-06-30 15:53 - 2013-06-29 17:18 - 10285040 ____A (Malwarebytes Corporation                                    ) C:\Users\Werner Herz\Downloads\mbam-setup-1.75.0.1300.exe
2013-06-30 03:32 - 2013-06-29 22:51 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0
2013-06-29 20:39 - 2013-06-29 20:39 - 299798528 ____A C:\Users\Werner Herz\Downloads\kav_rescue_10.iso
2013-06-29 20:30 - 2013-06-29 20:29 - 189865720 ____A (Max Secure Software                                         ) C:\Users\Werner Herz\Desktop\MaxSpywaredetector.exe
2013-06-29 20:24 - 2013-06-29 20:24 - 00000000 ____D C:\Users\Werner Herz\AppData\Local\Max Secure Software
2013-06-29 20:24 - 2013-06-29 20:23 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\GetRightToGo
2013-06-29 19:11 - 2013-06-29 19:11 - 04378864 ____A (Piriform Ltd) C:\Users\Werner Herz\Desktop\ccsetup402.exe
2013-06-29 11:35 - 2013-06-29 11:35 - 00005434 ____A C:\Users\Werner Herz\Documents\cc_20130629_123507.reg
2013-06-29 11:32 - 2013-06-29 11:02 - 00000000 ____D C:\ProgramData\SpeedMaxPc
2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\SpeedMaxPc
2013-06-29 11:02 - 2013-06-29 11:02 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\DriverCure
2013-06-29 10:12 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-06-28 13:35 - 2013-06-28 13:35 - 00004514 ____A C:\Users\Werner Herz\Documents\cc_20130628_143520.reg
2013-06-28 13:29 - 2007-07-20 16:59 - 00216576 ____A C:\Users\Werner Herz\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2013-06-28 12:31 - 2013-06-27 16:45 - 00000057 ____A C:\Users\Werner Herz\AppData\Roaming\mbam.context.scan
2013-06-27 22:30 - 2008-02-10 20:58 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Winamp
2013-06-27 17:06 - 2013-06-27 17:06 - 00000206 ____A C:\Users\Werner Herz\Documents\cc_20130627_180612.reg
2013-06-27 17:00 - 2013-06-27 17:00 - 00003306 ____A C:\Users\Werner Herz\Documents\cc_20130627_180014.reg
2013-06-27 16:38 - 2006-11-02 12:18 - 00000000 ___RD C:\users\Public
2013-06-27 16:37 - 2013-06-27 16:37 - 00000123 ____A C:\Users\Public\sdelevURL.tmp
2013-06-27 00:03 - 2013-06-27 00:03 - 00001708 ____A C:\Users\Werner Herz\Documents\cc_20130627_010344.reg
2013-06-26 21:05 - 2013-06-26 21:04 - 00000004 ____A C:\Users\Werner Herz\AppData\Roaming\skype.ini
2013-06-25 17:11 - 2013-06-25 17:11 - 00030290 ____A C:\Users\Werner Herz\Documents\duplicate.txt
2013-06-25 17:00 - 2013-06-25 17:00 - 00012076 ____A C:\Users\Werner Herz\Documents\cc_20130625_180045.reg
2013-06-25 16:46 - 2011-10-08 11:15 - 00000808 ____A C:\Users\Public\Desktop\CCleaner.lnk
2013-06-25 16:46 - 2010-06-08 20:41 - 00000000 ____D C:\Program Files\CCleaner
2013-06-25 16:43 - 2007-07-20 13:53 - 00000000 ____D C:\Users\Werner Herz\AppData\Local\Google
2013-06-23 22:56 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\Cursors
2013-06-23 15:15 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Yqninu
2013-06-23 14:59 - 2013-06-29 19:02 - 95023320 ___AT C:\ProgramData\ocdzboc.dat
2013-06-23 14:59 - 2013-06-23 08:40 - 95023320 ___AT C:\ProgramData\ocdzboc.pad
2013-06-23 14:58 - 2013-06-23 08:40 - 00000000 ____A C:\ProgramData\as98213.txt
2013-06-23 13:03 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Aksio
2013-06-23 13:03 - 2006-11-02 13:47 - 00353320 ____A C:\Windows\System32\FNTCACHE.DAT
2013-06-20 22:16 - 2012-02-10 20:41 - 00002119 ____A C:\Users\Werner Herz\Desktop\Google Chrome.lnk
2013-06-13 02:44 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\rescache
2013-06-13 02:26 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\System32\de-DE
2013-06-13 02:02 - 2006-11-02 11:24 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe
2013-06-03 19:50 - 2013-06-03 19:47 - 00000022 ____A C:\Users\Werner Herz\Downloads\SciLorsGrooveUnlockerBv0.3.3.zip
2013-06-03 19:43 - 2013-06-03 19:43 - 05375512 ____A C:\Users\Werner Herz\Downloads\Nicht bestätigt 937597.crdownload

Files to move or delete:
====================
C:\Users\Werner Herz\AppData\Roaming\skype.ini
C:\ProgramData\ocdzboc.dat
C:\ProgramData\ocdzboc.pad

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-06-18 19:33:01
Restore point made on: 2013-06-20 18:22:17
Restore point made on: 2013-06-20 18:37:06
Restore point made on: 2013-06-20 18:56:06
Restore point made on: 2013-06-21 15:00:51
Restore point made on: 2013-06-23 09:31:52
Restore point made on: 2013-06-23 23:38:46
Restore point made on: 2013-06-25 16:47:59
Restore point made on: 2013-06-26 22:27:29
Restore point made on: 2013-06-26 23:36:04
Restore point made on: 2013-06-27 18:10:53
Restore point made on: 2013-06-27 20:16:34
Restore point made on: 2013-06-27 21:29:54
Restore point made on: 2013-06-28 12:54:37
Restore point made on: 2013-06-28 19:11:42
Restore point made on: 2013-06-28 19:57:28
Restore point made on: 2013-06-29 10:30:29
Restore point made on: 2013-06-29 11:38:54
Restore point made on: 2013-06-29 12:57:38
Restore point made on: 2013-07-02 02:45:47
Restore point made on: 2013-07-02 04:12:44
Restore point made on: 2013-07-02 17:14:14
Restore point made on: 2013-07-02 17:34:16
Restore point made on: 2013-07-02 18:35:42
Restore point made on: 2013-07-02 20:06:58
Restore point made on: 2013-07-02 20:57:49

==================== Memory info =========================== 

Percentage of memory in use: 19%
Total physical RAM: 2045.88 MB
Available physical RAM: 1641.98 MB
Total Pagefile: 1861.66 MB
Available Pagefile: 1710.37 MB
Total Virtual: 2047.88 MB
Available Virtual: 1972.5 MB

==================== Drives ================================

Drive c: (BOOT) (Fixed) (Total:278.09 GB) (Free:155.24 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (RECOVER) (Fixed) (Total:19.99 GB) (Free:12.06 GB) FAT32
Drive e: (MEDHOPRDEU) (CDROM) (Total:2.69 GB) (Free:0 GB) CDFS
Drive f: (USB DISK) (Removable) (Total:14.91 GB) (Free:14.9 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 298 GB) (Disk ID: 2EEB02B9)
Partition 1: (Active) - (Size=278 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=20 GB) - (Type=OF Extended)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 15 GB) (Disk ID: C3072E18)
Partition 1: (Not Active) - (Size=15 GB) - (Type=0C)


LastRegBack: 2013-07-02 16:52

==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---

Ich hoffe, alles richtig gemacht zu haben.

Grüße aus Bayern
__________________

Alt 03.07.2013, 17:28   #4
ryder
/// TB-Ausbilder
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Ja, bis auf den Mist, den du dir so heruntergeladen hast. Aber alles der reihe nach...

Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
S3 Appinfo; %SystemRoot%\System32\appinfo.dll [x]
S2 AntUpdaterService; C:\Program Files\Ant.com\IE add-on\AntUpdaterService.exe [520216 2011-06-29] (Ant.com)
C:\Users\Werner Herz\AppData\Roaming\skype.ini
C:\ProgramData\ocdzboc.dat
C:\ProgramData\ocdzboc.pad

2013-06-23 13:03 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Aksio

2013-06-23 15:15 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Yqninu
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
Wenn das geklappt hat gehts weiter.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 03.07.2013, 18:22   #5
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Hallo ryder,
danke für die schnelle Bearbeitung. Hier kommt die Fixlog

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 02-07-2013
Ran by SYSTEM at 2013-07-03 19:00:26 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

Appinfo => Service deleted successfully.
AntUpdaterService => Service deleted successfully.
C:\Users\Werner Herz\AppData\Roaming\skype.ini => Moved successfully.
C:\ProgramData\ocdzboc.dat => Moved successfully.
C:\ProgramData\ocdzboc.pad => Moved successfully.
C:\Users\Werner Herz\AppData\Roaming\Aksio => Moved successfully.
C:\Users\Werner Herz\AppData\Roaming\Yqninu => Moved successfully.

==== End of Fixlog ====
         

Hallo ryder,
ich hoffe, so paßt´s. Bin in solchen Sachen relativ ungeschickt, da ich sowas zum ersten Mal mache wie Thread usw.

Werner


Alt 03.07.2013, 18:52   #6
ryder
/// TB-Ausbilder
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Sieht fein aus.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Boote jetzt normal.


Schritt 2:
Deinstallation von Programmen
  • Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
  • Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
  • ggf. Neustart zulassen
Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
Registry-Cleaner Software, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall (ist unnötig), McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle Varianten, Java 7 kann bleiben), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro, Webcake, OpenCandy

Ich persönlich empfehle auch alles zu deinstallieren, was mit Bing zu tun hat (Bing Desktop, -toolbar), aber das ist deine Entscheidung.


Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).



Schritt 4:
AdwCleaner wiederholen
Die vorliegende Version der Werbeprogramme ist ziemlich hartnäckig und kann von AdwCleaner erfahrungsgemäss nur bei zweimaliger Anwendung entfernt werden. Also wiederhole diesen Schritt bitte und poste auch das Logfile.


Schritt 5:
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
--> Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.

Alt 04.07.2013, 17:06   #7
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Hallo,

zu Punkt 1: Ich kann im Normalmodus keine Programme deinstallieren.

Entweder es kommt eine Meldung wie "Bei der Deinstallation von.....ist ein Fehler aufgetreten. Möglicherweise wurde es bereits deinstalliert. Möchten Sie ..... aus der Liste Programme und Funktionen entfernen?"

oder es kommt bei anderen Programmen nach Klick auf "Deinstallieren" das Fenster
Windows Installer: "Der Systemadministrator hat Richtlinien erlassen um diese Installation zu verhindern." "Sie verfügen nicht über ausreichende Berechtigungen, um ...... zu entfernen. Wenden Sie sich an den Systemadministrator."

Ich habe jetzt noch keine weiteren Punkte abgearbeitet. Was kann ich da machen?

Alt 04.07.2013, 17:42   #8
ryder
/// TB-Ausbilder
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Dann machen wir mal weiter
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 04.07.2013, 18:29   #9
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Ok, probier´ mas, was soll ich als nächstes machen?

Alt 04.07.2013, 19:34   #10
ryder
/// TB-Ausbilder
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Die nächsten Schritte?
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 04.07.2013, 20:02   #11
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Also, ich hab jetzt wie in Schritt 3 adwcleaner auf den Desktop geladen und alle Programme geschlossen.

Jetzt kommt nach Doppelklick in einem Fenster die Meldung:

"C:\Users\Werner Herz\Desktop\adwcleaner.exe
Der angegebene Dienst ist kein installierter Dienst"

Alt 04.07.2013, 20:30   #12
ryder
/// TB-Ausbilder
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Verrückt. Wir müssen mal sehen was da überhaupt los ist.

Boote bitte in den abgesicherten Modus und lasse dort Combofix laufen.

So funktioniert es - Windows XP, Vista und 7:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

So funktioniert es - Windows 8: Alternative Anleitung


Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 05.07.2013, 00:35   #13
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



So, ich hab´s glaub ich geschafft. Habe combofix auf den Desktop gespeichert. Der Avira hat sich im normalen Modus nicht ausschalten lassen - keinen Zugriff. Im abgesicherten Modus war er dann deaktiviert. Nach dem Starten von Combofix kam dann schon die Meldung, dass Avira noch aktiv ist. Hab ich dann wie Du schon erwähnt hast ignoriert und hiermit mitgeteilt. Die erstellte Datei war dann im normalen Modus nicht zu finden. Habe sie dann im abgesicherten Modus auf den Stick kopiert und hier ist sie nun:

Code:
ATTFilter
ComboFix 13-07-04.01 - Werner Herz 05.07.2013   0:29.1.2 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2046.1568 [GMT 2:00]
ausgeführt von:: c:\users\Werner Herz\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\60a7806a-0eea-424c-a464-20f4730cd631
c:\users\Public\sdelevURL.tmp
c:\users\Werner Herz\AppData\Roaming\AcroIEHelpe.txt
c:\users\Werner Herz\AppData\Roaming\Emso
c:\users\Werner Herz\AppData\Roaming\Emso\ybeqp.tmp
c:\users\Werner Herz\AppData\Roaming\Emso\ybeqp.uri
c:\users\Werner Herz\AppData\Roaming\srvblck2.tmp
c:\users\Werner Herz\AppData\Roaming\Uhpyf
c:\users\Werner Herz\AppData\Roaming\Uhpyf\oqso.ity
c:\windows\system32\appinfo.dll.VIRUS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-06-04 bis 2013-07-04  ))))))))))))))))))))))))))))))
.
.
2013-07-04 22:37 . 2013-07-04 22:38	--------	d-----w-	c:\users\Werner Herz\AppData\Local\temp
2013-07-04 22:37 . 2013-07-04 22:37	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-07-02 23:40 . 2013-07-02 23:40	--------	d-----w-	C:\FRST
2013-07-02 19:58 . 2013-06-12 04:18	7068072	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{966639E1-B22F-47C9-9860-8B9D7BCF772F}\mpengine.dll
2013-06-29 21:51 . 2013-06-30 02:32	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-06-29 19:24 . 2013-06-29 19:24	--------	d-----w-	c:\users\Werner Herz\AppData\Local\Max Secure Software
2013-06-29 19:23 . 2013-06-29 19:24	--------	d-----w-	c:\users\Werner Herz\AppData\Roaming\GetRightToGo
2013-06-29 10:02 . 2013-06-29 10:02	--------	d-----w-	c:\users\Werner Herz\AppData\Roaming\SpeedMaxPc
2013-06-29 10:02 . 2013-06-29 10:02	--------	d-----w-	c:\users\Werner Herz\AppData\Roaming\DriverCure
2013-06-29 10:02 . 2013-06-29 10:32	--------	d-----w-	c:\programdata\SpeedMaxPc
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-02 00:06 . 2009-10-02 16:33	238872	------w-	c:\windows\system32\MpSigStub.exe
2013-04-15 16:25 . 2012-04-03 18:55	691592	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-04-15 16:25 . 2011-06-02 10:18	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-04-15 14:20 . 2013-05-14 18:48	638328	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2013-04-13 10:56 . 2013-05-14 18:48	37376	----a-w-	c:\windows\system32\cdd.dll
2013-04-09 01:36 . 2013-05-14 18:48	2049024	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{b80f591e-fe9a-46cf-a13e-180377240586}"= "c:\program files\Elf_1.13\prxtbElf_.dll" [2011-01-03 175400]
.
[HKEY_CLASSES_ROOT\clsid\{b80f591e-fe9a-46cf-a13e-180377240586}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{b80f591e-fe9a-46cf-a13e-180377240586}]
2011-01-03 09:16	175400	----a-w-	c:\program files\Elf_1.13\prxtbElf_.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{b80f591e-fe9a-46cf-a13e-180377240586}"= "c:\program files\Elf_1.13\prxtbElf_.dll" [2011-01-03 175400]
.
[HKEY_CLASSES_ROOT\clsid\{b80f591e-fe9a-46cf-a13e-180377240586}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B80F591E-FE9A-46CF-A13E-180377240586}"= "c:\program files\Elf_1.13\prxtbElf_.dll" [2011-01-03 175400]
.
[HKEY_CLASSES_ROOT\clsid\{b80f591e-fe9a-46cf-a13e-180377240586}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-18 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"AVMWlanClient"="c:\program files\avmwlanstick\wlangui.exe" [2009-05-07 1904640]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-06-16 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-16 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-16 81920]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-05-27 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-07-01 345144]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE -b -l [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-12-23 16:05	143360	----a-w-	c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-21 13:53	141608	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40	155648	----a-w-	c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2012-10-13 00:54	1088424	----a-w-	c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
2007-05-07 16:51	1826816	----a-w-	c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]
2007-05-08 07:06	790016	----a-w-	c:\program files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
.
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-01-08 1136600]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - ECACHE
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
2008-02-25 09:55	7680	----a-w-	c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-21 14:08]
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-21 14:08]
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003Core.job
- c:\users\Werner Herz\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-10 19:06]
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4048469019-88270724-231679316-1003UA.job
- c:\users\Werner Herz\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-10 19:06]
.
2013-07-04 c:\windows\Tasks\User_Feed_Synchronization-{E7E3DCEC-8A47-46EB-B227-FBA51D1E7BA1}.job
- c:\windows\system32\msfeedssync.exe [2013-06-12 00:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://downunder-music.de/
uInternet Settings,ProxyOverride = fritz.box;*.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Download Video - hxxp://www.viloader.net/addon.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-1170-17534-28/4
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{6CD56C02-CB4D-41B5-A0FE-B479061CCB41} - (no file)
WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
WebBrowser-{7E111A5C-3D11-4F56-9463-5310C3C69025} - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-05 00:38
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2013-07-05  00:40:07
ComboFix-quarantined-files.txt  2013-07-04 22:40
.
Vor Suchlauf: 12 Verzeichnis(se), 166.921.469.952 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 166.931.763.200 Bytes frei
.
- - End Of File - - 4109887C34EEFA51A4E018C1865DBCAA
5C616939100B85E558DA92B899A0FC36
         

So, jetzt leg ich mich flach. Danke für die bis jetzt geopferte Zeit.
Servus!

Alt 05.07.2013, 14:50   #14
ryder
/// TB-Ausbilder
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Na da wundert einen nix mehr.

Entferne mal diesen Unsinn hier:


2013-06-29 19:24 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Local\Max Secure Software
2013-06-29 19:23 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\GetRightToGo
2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\SpeedMaxPc
2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\DriverCure
2013-06-29 10:02 . 2013-06-29 10:32 -------- d-----w- c:\programdata\SpeedMaxPc
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:
  • Gehe in die Systemsteuerung und klicke auf Windows Defender.
  • Klicke Extras > Optionen.
  • Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
  • Bestätige und schliesse alle offenen Fenster.

Mehr zu den Hintergründen und einer tieferen Deaktivierung: LINK


Danach versuche bitte Combofix im normalen Modus laufen zu lassen
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 05.07.2013, 19:07   #15
ovation
 
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Standard

Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.



Hallo, das ist mir alles ein wenig zu hoch. Hab versucht, den Unsinn zu löschen. Ich hab allerdings die angegebenen Pfade im normalen Windows-Explorer gar nicht gefunden.
Ich hab den Unsinn jetzt mal im abgesicherten Modus gelöscht. Danach hab ich den Windows Defender deaktiviert und dann nach langem Herumsuchen (ich kenn mich da wirklich zu wenig aus), hab ich den Haken im Menü Organisieren -Ordneroptionen - Ansicht bei "Geschützte Systemdateien ausblenden" rausgemacht und "Versteckte Dateien und Ordner ausblenden deaktiviert. Jetzt seh ich zumindest mal mehr Verzeichnisse und finde auch die von Dir angegebenen. Allerdings sind bei etlichen Ordnern Pfeile eingeblendet und auf diese Ordner kann ich nicht zugreifen. Ist das normal oder bloß eine Einstellungssache. Combofix kann ich im normalen Modus immer noch nicht starten. Es kommt: "Der angegebene Dienst ist kein installierter Dienst.
Langsam geht´s an die Nerven, wenn man so hilflos ist.
Aber ich hab ja kompetente Hilfe von Dir - das wird schon. Nächster Schritt???

Grüße
Werner

Antwort

Themen zu Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.
abgesicherten, ausführung, avira, befall, befragung, blockiert, code, datei, desktop, eingeschränkt, einträge, experten, fehler, gelöscht, kaspersky, laden, meldungen, modul, modus, nicht mehr, probleme, professionell, programme, quarantäne, rechner, windows




Ähnliche Themen: Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.


  1. Windows XP: Internet-Leistung extrem verlangsamt nach Trojaner-Befall?
    Log-Analyse und Auswertung - 18.11.2015 (10)
  2. Internet nur eingeschränkt möglich dns antwortet nicht
    Plagegeister aller Art und deren Bekämpfung - 02.08.2015 (6)
  3. Windows 7 möglicher Trojaner befall nach gefälschter Telekom-Mail
    Plagegeister aller Art und deren Bekämpfung - 24.01.2014 (9)
  4. Computergeschwindigkeit stark eingeschränkt.Zusammenhang mit Malware möglich.
    Log-Analyse und Auswertung - 02.12.2013 (9)
  5. Datenrettung möglich nach Befall mit PUP.Optional.BuzzSearch.A?
    Antiviren-, Firewall- und andere Schutzprogramme - 15.11.2013 (13)
  6. Vista läuft nach Befall und Recovery nur noch virtuell
    Plagegeister aller Art und deren Bekämpfung - 05.10.2013 (5)
  7. GVU-Trojaner, Windows-XP, Nur noch Aufruf des Administratorenkontos im abgesicherten Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 14.08.2013 (19)
  8. Laptop nach GVU-Trojaner Befall wieder am Laufen aber bestimmt noch nicht "sauber"
    Plagegeister aller Art und deren Bekämpfung - 23.07.2013 (11)
  9. GVU Trojaner Befall, Windows 7. Vermutlich nach Installation von infizierter Software
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (23)
  10. System noch sicher nach Befall durch sirefef?
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (2)
  11. Trojaner Befall, kaum noch Windowsfunktionen nach dem Virenscan
    Log-Analyse und Auswertung - 03.06.2012 (14)
  12. Systembereinigung nach Befall durch Trojaner Windows Vista Repair
    Log-Analyse und Auswertung - 25.07.2011 (26)
  13. Nach Windows recovery Trojaner -Befall: Desktopsymbole transparent
    Log-Analyse und Auswertung - 25.04.2011 (1)
  14. Nach Trojaner Befall Windows neu aufsetzen
    Alles rund um Windows - 10.04.2011 (4)
  15. Suchfunktion in Windows 7 nur eingeschränkt möglich....
    Alles rund um Windows - 27.12.2010 (1)
  16. Immer noch Probleme nach Bagle befall
    Log-Analyse und Auswertung - 23.02.2007 (15)
  17. Nach Qoolog-Befall, Dateien noch zu retten?
    Plagegeister aller Art und deren Bekämpfung - 23.09.2006 (1)

Zum Thema Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. - Hallo Trojaner-Boardler, ich habe mir vorige Woche den GVU-Trojaner eingefangen. Avira hat das auch sofort gemeldet. Kurzzeitig war der Rechner zwar blockiert, ich konnte aber mit der "Desinfec´t" CD und - Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich....
Archiv
Du betrachtest: Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.