| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner - Komme bis zur EingabeaufforderungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.07.2013, 22:22
| #1 |
| |  GVU-Trojaner - Komme bis zur Eingabeaufforderung Hallo zusammen und danke schonmal, dass ihr trotz wiederholtem Male der Frage euch die Zeit nehmt euch meines Problems anzunehmen. Wie im Threadtitel beschrieben, hat sich mein LapTop den GVU-Trojaner eingefangen. Nach dem reparieren kam ich immerhin zur eingabeaufforderung und konnte die frst.exe drüberlaufen lassen. Hier das Ergebnis: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 04-07-2013
Ran by SYSTEM on 07-07-2013 22:24:57
Running from E:\
Windows 7 Professional (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery
The current controlset is ControlSet003
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345144 2013-07-01] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKU\x\...\Run: [Vocximily Notify] C:\Program Files\Vocximily\Notice.exe [ 2010-04-02] (MatchWare A/S)
HKU\x\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe [ 2013-07-07] (NVIDIA Corporation) <===== ATTENTION
HKU\x\...\Command Processor: "C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe" <===== ATTENTION!
Startup: C:\ProgramData\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
Startup: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CCC.lnk
ShortcutTarget: CCC.lnk -> C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ATI Technologies Inc.)
Startup: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
ShortcutTarget: OpenOffice.org 3.3.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
========================== Services (Whitelisted) =================
S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
S2 UMVPFSrv; C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [450848 2012-01-18] (Logitech Inc.)
S2 VMCService; C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [9216 2009-04-20] (Vodafone)
==================== Drivers (Whitelisted) ====================
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-01] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-01] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-01] (Avira Operations GmbH & Co. KG)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 ZTEusbnet; C:\Windows\System32\DRIVERS\ZTEusbnet.sys [110592 2009-04-09] (ZTE Corporation)
S3 ZTEusbvoice; C:\Windows\System32\DRIVERS\ZTEusbvoice.sys [105344 2009-04-09] (ZTE Incorporated)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-07-07 22:03 - 2013-07-07 22:03 - 00000000 ____A C:\X
2013-07-07 21:58 - 2013-07-07 21:58 - 00000000 ____D C:\FRST
2013-06-27 18:47 - 2013-06-30 20:21 - 00000000 ____D C:\Users\x\Desktop\Stoffe 2
2013-06-27 07:16 - 2013-06-27 07:19 - 268212175 ____A C:\Users\x\Downloads\Neu-Erscheinung.wma
2013-06-27 07:10 - 2013-06-27 07:13 - 119299948 ____A C:\Users\x\Downloads\Die Känguru-Chroniken.wma
2013-06-27 07:10 - 2013-06-27 07:12 - 76649412 ____A C:\Users\x\Downloads\Das Leben ist keine Waldorfschule.wma
2013-06-24 21:36 - 2013-06-24 21:38 - 00000000 ____D C:\Users\x\Desktop\Bilder 24-06-2013
2013-06-13 15:40 - 2013-06-13 15:40 - 00074526 ____A C:\Users\x\Downloads\774663_sa7eantfqv.odt
2013-06-12 22:37 - 2013-06-12 22:45 - 00000000 ____D C:\Users\x\Desktop\sammlung iserlohn
2013-06-12 02:06 - 2013-06-08 12:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 02:06 - 2013-06-08 12:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 02:01 - 2013-05-17 02:26 - 00042496 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 02:01 - 2013-05-17 02:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 02:01 - 2013-05-14 09:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-11 20:47 - 2013-05-13 05:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-11 20:47 - 2013-05-13 05:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-11 20:47 - 2013-05-13 05:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-11 20:47 - 2013-05-13 04:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-11 20:47 - 2013-05-13 04:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-11 20:47 - 2013-05-10 04:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-11 20:47 - 2013-04-26 05:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-11 20:47 - 2013-04-26 00:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-11 20:46 - 2013-05-08 06:38 - 01293672 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-11 20:46 - 2013-05-06 06:06 - 03968872 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-06-11 20:46 - 2013-05-06 06:06 - 03913576 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-06-11 20:46 - 2013-04-17 08:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll
==================== One Month Modified Files and Folders ========
2013-07-07 22:03 - 2013-07-07 22:03 - 00000000 ____A C:\X
2013-07-07 21:58 - 2013-07-07 21:58 - 00000000 ____D C:\FRST
2013-07-07 21:19 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-07 21:19 - 2009-07-14 05:39 - 00047902 ____A C:\Windows\setupact.log
2013-07-07 20:55 - 2011-07-07 20:21 - 01697851 ____A C:\Windows\WindowsUpdate.log
2013-07-07 20:55 - 2009-07-14 05:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-07 20:55 - 2009-07-14 05:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-07 20:51 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\tracing
2013-07-07 20:50 - 2009-07-14 05:34 - 00110592 ____A C:\Windows\System32\umstartup.etl
2013-07-07 20:49 - 2011-07-07 20:39 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-07 20:36 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-07-07 20:13 - 2012-10-11 10:00 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-03 00:57 - 2013-04-15 09:06 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-07-03 00:57 - 2012-05-14 21:53 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-07-01 23:37 - 2013-05-07 22:18 - 00067168 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avnetflt.sys
2013-06-30 20:21 - 2013-06-27 18:47 - 00000000 ____D C:\Users\x\Desktop\Stoffe 2
2013-06-29 22:55 - 2011-07-31 21:45 - 00104022 ____A C:\Windows\PFRO.log
2013-06-27 18:46 - 2013-03-23 16:56 - 00000000 ____D C:\Users\x\Desktop\Bilder 23-03-2013
2013-06-27 07:19 - 2013-06-27 07:16 - 268212175 ____A C:\Users\x\Downloads\Neu-Erscheinung.wma
2013-06-27 07:13 - 2013-06-27 07:10 - 119299948 ____A C:\Users\x\Downloads\Die Känguru-Chroniken.wma
2013-06-27 07:12 - 2013-06-27 07:10 - 76649412 ____A C:\Users\x\Downloads\Das Leben ist keine Waldorfschule.wma
2013-06-24 21:38 - 2013-06-24 21:36 - 00000000 ____D C:\Users\x\Desktop\Bilder 24-06-2013
2013-06-18 01:23 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-06-13 18:05 - 2011-07-12 22:39 - 00000000 ___AD C:\Users\x\Desktop\Studium
2013-06-13 15:40 - 2013-06-13 15:40 - 00074526 ____A C:\Users\x\Downloads\774663_sa7eantfqv.odt
2013-06-12 22:45 - 2013-06-12 22:37 - 00000000 ____D C:\Users\x\Desktop\sammlung iserlohn
2013-06-12 02:24 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-06-12 02:02 - 2011-08-01 17:28 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-11 23:24 - 2012-04-15 05:56 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-11 23:24 - 2011-07-14 20:01 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-11 21:11 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-06-08 12:42 - 2013-06-12 02:06 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-08 12:13 - 2013-06-12 02:06 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
==================== Known DLLs (Whitelisted) ============
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
==================== Memory info ===========================
Percentage of memory in use: 19%
Total physical RAM: 2046.43 MB
Available physical RAM: 1653.11 MB
Total Pagefile: 2046.43 MB
Available Pagefile: 1650.97 MB
Total Virtual: 2047.88 MB
Available Virtual: 1927.84 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:55.88 GB) (Free:11.04 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: (INTENSO) (Removable) (Total:3.62 GB) (Free:3.61 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 56 GB) (Disk ID: 1669C708)
Partition 1: (Active) - (Size=56 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 04DD5721)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)
LastRegBack: 2013-03-20 09:15
==================== End Of Log ============================
Eigentlich würde ich nur die jüngsten Daten meiner Arbeiten fürs studium sichern wollen und dann Windows 7 neu aufsetzen - das Problem ist aber, dass ich den Lappi gebraucht gekauft habe und dieser ein BIOS-PW hat, an dass sich der Verkäufer nicht mehr erinnern konnte - beim Platt machen von Windows könnte das also zu einem Problem werden - oder? Da der Knochen "noch" ansonsten tut und nur zur Textverarbeitung und zum Pflegen des Webshops verwendet wird, brauchts rein von der Leistung her eigentlich keinen neuen - wäre also schön, wenn ich ihn "einfach" reinigen und wieder nutzen könnte. |
| Themen zu GVU-Trojaner - Komme bis zur Eingabeaufforderung |
| adobe, adobe flash player, antivir, association, avg, avira, crypt, desktop, explorer, explorer.exe, farbar, farbar recovery scan tool, flash player, frage, frst.exe, frst.txt, gebraucht, log, microsoft, mozilla, nvidia, opera, registry, scan, security, services.exe, svchost.exe, system, temp, winlogon.exe |
Baum-Darstellung