Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner - Komme bis zur Eingabeaufforderung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.07.2013, 23:22   #1
Cestus
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Hallo zusammen und danke schonmal, dass ihr trotz wiederholtem Male der Frage euch die Zeit nehmt euch meines Problems anzunehmen. Wie im Threadtitel beschrieben, hat sich mein LapTop den GVU-Trojaner eingefangen. Nach dem reparieren kam ich immerhin zur eingabeaufforderung und konnte die frst.exe drüberlaufen lassen.

Hier das Ergebnis:


FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 04-07-2013
Ran by SYSTEM on 07-07-2013 22:24:57
Running from E:\
Windows 7 Professional (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet003
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345144 2013-07-01] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKU\x\...\Run: [Vocximily Notify] C:\Program Files\Vocximily\Notice.exe [ 2010-04-02] (MatchWare A/S)
HKU\x\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe [ 2013-07-07] (NVIDIA Corporation) <===== ATTENTION
HKU\x\...\Command Processor: "C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe" <===== ATTENTION!
Startup: C:\ProgramData\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
Startup: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CCC.lnk
ShortcutTarget: CCC.lnk -> C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ATI Technologies Inc.)
Startup: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
ShortcutTarget: OpenOffice.org 3.3.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-01] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-01] (Avira Operations GmbH & Co. KG)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
S2 UMVPFSrv; C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [450848 2012-01-18] (Logitech Inc.)
S2 VMCService; C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [9216 2009-04-20] (Vodafone)

==================== Drivers (Whitelisted) ====================

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-01] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-01] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-01] (Avira Operations GmbH & Co. KG)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 ZTEusbnet; C:\Windows\System32\DRIVERS\ZTEusbnet.sys [110592 2009-04-09] (ZTE Corporation)
S3 ZTEusbvoice; C:\Windows\System32\DRIVERS\ZTEusbvoice.sys [105344 2009-04-09] (ZTE Incorporated)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-07 22:03 - 2013-07-07 22:03 - 00000000 ____A C:\X
2013-07-07 21:58 - 2013-07-07 21:58 - 00000000 ____D C:\FRST
2013-06-27 18:47 - 2013-06-30 20:21 - 00000000 ____D C:\Users\x\Desktop\Stoffe 2
2013-06-27 07:16 - 2013-06-27 07:19 - 268212175 ____A C:\Users\x\Downloads\Neu-Erscheinung.wma
2013-06-27 07:10 - 2013-06-27 07:13 - 119299948 ____A C:\Users\x\Downloads\Die Känguru-Chroniken.wma
2013-06-27 07:10 - 2013-06-27 07:12 - 76649412 ____A C:\Users\x\Downloads\Das Leben ist keine Waldorfschule.wma
2013-06-24 21:36 - 2013-06-24 21:38 - 00000000 ____D C:\Users\x\Desktop\Bilder 24-06-2013
2013-06-13 15:40 - 2013-06-13 15:40 - 00074526 ____A C:\Users\x\Downloads\774663_sa7eantfqv.odt
2013-06-12 22:37 - 2013-06-12 22:45 - 00000000 ____D C:\Users\x\Desktop\sammlung iserlohn
2013-06-12 02:06 - 2013-06-08 12:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 02:06 - 2013-06-08 12:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 02:06 - 2013-06-08 12:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 02:01 - 2013-05-17 02:26 - 00042496 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 02:01 - 2013-05-17 02:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 02:01 - 2013-05-17 02:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 02:01 - 2013-05-14 09:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-11 20:47 - 2013-05-13 05:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-11 20:47 - 2013-05-13 05:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-11 20:47 - 2013-05-13 05:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-11 20:47 - 2013-05-13 04:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-11 20:47 - 2013-05-13 04:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-11 20:47 - 2013-05-10 04:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-11 20:47 - 2013-04-26 05:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-11 20:47 - 2013-04-26 00:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-11 20:46 - 2013-05-08 06:38 - 01293672 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-11 20:46 - 2013-05-06 06:06 - 03968872 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-06-11 20:46 - 2013-05-06 06:06 - 03913576 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-06-11 20:46 - 2013-04-17 08:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll

==================== One Month Modified Files and Folders ========

2013-07-07 22:03 - 2013-07-07 22:03 - 00000000 ____A C:\X
2013-07-07 21:58 - 2013-07-07 21:58 - 00000000 ____D C:\FRST
2013-07-07 21:19 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-07 21:19 - 2009-07-14 05:39 - 00047902 ____A C:\Windows\setupact.log
2013-07-07 20:55 - 2011-07-07 20:21 - 01697851 ____A C:\Windows\WindowsUpdate.log
2013-07-07 20:55 - 2009-07-14 05:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-07 20:55 - 2009-07-14 05:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-07 20:51 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\tracing
2013-07-07 20:50 - 2009-07-14 05:34 - 00110592 ____A C:\Windows\System32\umstartup.etl
2013-07-07 20:49 - 2011-07-07 20:39 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-07 20:36 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-07-07 20:13 - 2012-10-11 10:00 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-03 00:57 - 2013-04-15 09:06 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-07-03 00:57 - 2012-05-14 21:53 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-07-01 23:37 - 2013-05-07 22:18 - 00067168 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avnetflt.sys
2013-06-30 20:21 - 2013-06-27 18:47 - 00000000 ____D C:\Users\x\Desktop\Stoffe 2
2013-06-29 22:55 - 2011-07-31 21:45 - 00104022 ____A C:\Windows\PFRO.log
2013-06-27 18:46 - 2013-03-23 16:56 - 00000000 ____D C:\Users\x\Desktop\Bilder 23-03-2013
2013-06-27 07:19 - 2013-06-27 07:16 - 268212175 ____A C:\Users\x\Downloads\Neu-Erscheinung.wma
2013-06-27 07:13 - 2013-06-27 07:10 - 119299948 ____A C:\Users\x\Downloads\Die Känguru-Chroniken.wma
2013-06-27 07:12 - 2013-06-27 07:10 - 76649412 ____A C:\Users\x\Downloads\Das Leben ist keine Waldorfschule.wma
2013-06-24 21:38 - 2013-06-24 21:36 - 00000000 ____D C:\Users\x\Desktop\Bilder 24-06-2013
2013-06-18 01:23 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-06-13 18:05 - 2011-07-12 22:39 - 00000000 ___AD C:\Users\x\Desktop\Studium
2013-06-13 15:40 - 2013-06-13 15:40 - 00074526 ____A C:\Users\x\Downloads\774663_sa7eantfqv.odt
2013-06-12 22:45 - 2013-06-12 22:37 - 00000000 ____D C:\Users\x\Desktop\sammlung iserlohn
2013-06-12 02:24 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-06-12 02:02 - 2011-08-01 17:28 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-11 23:24 - 2012-04-15 05:56 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-11 23:24 - 2011-07-14 20:01 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-11 21:11 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-06-08 12:42 - 2013-06-12 02:06 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-08 12:40 - 2013-06-12 02:06 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-08 12:13 - 2013-06-12 02:06 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 19%
Total physical RAM: 2046.43 MB
Available physical RAM: 1653.11 MB
Total Pagefile: 2046.43 MB
Available Pagefile: 1650.97 MB
Total Virtual: 2047.88 MB
Available Virtual: 1927.84 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:55.88 GB) (Free:11.04 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: (INTENSO) (Removable) (Total:3.62 GB) (Free:3.61 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 56 GB) (Disk ID: 1669C708)
Partition 1: (Active) - (Size=56 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 04DD5721)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-03-20 09:15

==================== End Of Log ============================
         
--- --- ---


Eigentlich würde ich nur die jüngsten Daten meiner Arbeiten fürs studium sichern wollen und dann Windows 7 neu aufsetzen - das Problem ist aber, dass ich den Lappi gebraucht gekauft habe und dieser ein BIOS-PW hat, an dass sich der Verkäufer nicht mehr erinnern konnte - beim Platt machen von Windows könnte das also zu einem Problem werden - oder?

Da der Knochen "noch" ansonsten tut und nur zur Textverarbeitung und zum Pflegen des Webshops verwendet wird, brauchts rein von der Leistung her eigentlich keinen neuen - wäre also schön, wenn ich ihn "einfach" reinigen und wieder nutzen könnte.

Alt 08.07.2013, 00:27   #2
aharonov
/// TB-Ausbilder
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Hi,

kannst du den Rechner nach folgendem Fix wieder normal starten?


Drücke auf einem Zweitrechner bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
(Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das in diesem Skript wieder rückgängig.)
Code:
ATTFilter
HKU\x\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe [ 2013-07-07] (NVIDIA Corporation) <===== ATTENTION
HKU\x\...\Command Processor: "C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe" <===== ATTENTION!
C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe
C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.dll
         
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.
__________________

__________________

Alt 08.07.2013, 06:37   #3
Cestus
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Guten morgen und danke für die nächtliche Hilfe.
Starten klappt wieder normal und es kommt auch erstmal keine Fehlermeldung.

Fixlog:
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-07-2013
Ran by SYSTEM at 2013-07-08 06:24:56 Run:1
Running from E:\
Boot Mode: Recovery

==============================================

HKU\x\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe [ 2013-07-07 => Value not found.
HKU\x\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe => Moved successfully.
"C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.dll" => File/Directory not found.

==== End of Fixlog ====
         
Laptop ist selbstredend vom www getrennt und hat als einzige Verbindung zur Aussenwelt derzeit seinen USB-Port. ^^ Gibt es noch weitere Schritte für mich zu tun, oder war das die "Light"-Variante des fixes, die schon "alles" gelöst hat? is zur Antwort werd ich erstmal nichts weiter mit dem "bösen Ding" machen, um den Erfolg nicht wieder mit dem Hintern einzureissen.
__________________

Alt 08.07.2013, 10:58   #4
aharonov
/// TB-Ausbilder
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Hi,

Zitat:
Gibt es noch weitere Schritte für mich zu tun
Ja, gibt es. Dieser Fix hat sich jetzt erst mal um den Sperrbildschirm gekümmert, damit man wieder normal in Windows arbeiten kann.


Verschiebe die frst.exe vom USB-Stick auf den Desktop.
  • Starte dann FRST.
  • Setze bei Optional Scan den Haken bei Addition.txt und drücke Scan.
  • Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.
__________________
cheers,
Leo

Alt 08.07.2013, 16:54   #5
Cestus
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Tut mir leid, dass es so lange gedauert hat - langer Arbeitstag. :-/
Ich hoffe meine Verlobte war nicht nochmal am Laptop im Laufe des Tages. der stand nicht da, wo ich ihn liegenließ... oh well.
Hier die beiden Logfiles:

FRST:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 04-07-2013
Ran by x (administrator) on 08-07-2013 16:43:23
Running from C:\Users\x\Desktop
Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Normal

==================== Processes (Whitelisted) ===================

(Lenovo) C:\Windows\system32\ibmpmsvc.exe
(ATI Technologies Inc.) C:\Windows\system32\Ati2evxx.exe
(Logitech Inc.) C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
(ATI Technologies Inc.) C:\Windows\system32\Ati2evxx.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
(Vodafone) C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
(Microsoft Corp.) C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe
(OpenOffice.org) C:\Program Files\OpenOffice.org 3\program\soffice.exe
(OpenOffice.org) C:\Program Files\OpenOffice.org 3\program\soffice.bin
(Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
(Microsoft Corporation) C:\Windows\System32\mobsync.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [x]
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKCU\...\Run: [Vocximily Notify] C:\Program Files\Vocximily\Notice.exe [1319232 2010-04-02] (MatchWare A/S)
HKCU\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe [x] <===== ATTENTION
MountPoints2: E - E:\setup_vmc_lite.exe /checkApplicationPresence
MountPoints2: {26e36ec6-c51f-11e0-8d20-0015587e8608} - E:\Startme.exe
MountPoints2: {4e66ca23-d342-11e0-97e7-0015587e8608} - E:\setup_vmc_lite.exe /checkApplicationPresence
Startup: C:\ProgramData\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
Startup: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CCC.lnk
ShortcutTarget: CCC.lnk -> C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ATI Technologies Inc.)
Startup: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
ShortcutTarget: OpenOffice.org 3.3.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

FireFox:
========
FF ProfilePath: C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\nftr7zdz.default
FF user.js: detected! => C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\nftr7zdz.default\user.js
FF Homepage: www.google.de
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @mcafee.com/McAfeeMssPlugin - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @videolan.org/vlc,version=1.1.11 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: DivXWebPlayer - C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\nftr7zdz.default\Extensions\DivXWebPlayer@divx.com.xpi
FF Extension: No Name - C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\nftr7zdz.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-07-02] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-07-02] (Avira Operations GmbH & Co. KG)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
R2 UMVPFSrv; C:\Program Files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [450848 2012-01-18] (Logitech Inc.)
R2 VMCService; C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [9216 2009-04-20] (Vodafone)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-01] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-01] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-01] (Avira Operations GmbH & Co. KG)
R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 ZTEusbnet; C:\Windows\System32\DRIVERS\ZTEusbnet.sys [110592 2009-04-09] (ZTE Corporation)
S3 ZTEusbvoice; C:\Windows\System32\DRIVERS\ZTEusbvoice.sys [105344 2009-04-09] (ZTE Incorporated)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-08 16:43 - 2013-07-07 21:27 - 01373373 ____A (Farbar) C:\Users\x\Desktop\FRST.exe
2013-07-07 22:58 - 2013-07-07 22:58 - 00000000 ____D C:\FRST
2013-07-03 01:57 - 2013-07-03 01:57 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-27 19:47 - 2013-06-30 21:21 - 00000000 ____D C:\Users\x\Desktop\Stoffe 2
2013-06-27 08:16 - 2013-06-27 08:19 - 268212175 ____A C:\Users\x\Downloads\Neu-Erscheinung.wma
2013-06-27 08:10 - 2013-06-27 08:13 - 119299948 ____A C:\Users\x\Downloads\Die Känguru-Chroniken.wma
2013-06-27 08:10 - 2013-06-27 08:12 - 76649412 ____A C:\Users\x\Downloads\Das Leben ist keine Waldorfschule.wma
2013-06-24 22:36 - 2013-06-24 22:38 - 00000000 ____D C:\Users\x\Desktop\Bilder 24-06-2013
2013-06-13 16:40 - 2013-06-13 16:40 - 00074526 ____A C:\Users\x\Downloads\774663_sa7eantfqv.odt
2013-06-12 23:37 - 2013-06-12 23:45 - 00000000 ____D C:\Users\x\Desktop\sammlung iserlohn
2013-06-12 03:06 - 2013-06-08 13:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 03:06 - 2013-06-08 13:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 03:06 - 2013-06-08 13:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 03:06 - 2013-06-08 13:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 03:06 - 2013-06-08 13:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 03:06 - 2013-06-08 13:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 03:01 - 2013-05-17 03:26 - 00042496 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-12 03:01 - 2013-05-17 03:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 03:01 - 2013-05-17 03:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 03:01 - 2013-05-17 03:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 03:01 - 2013-05-17 03:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 03:01 - 2013-05-17 03:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-12 03:01 - 2013-05-17 03:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-12 03:01 - 2013-05-17 03:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 03:01 - 2013-05-17 03:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-12 03:01 - 2013-05-14 10:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-11 21:47 - 2013-05-13 06:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-11 21:47 - 2013-05-13 06:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-11 21:47 - 2013-05-13 06:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-11 21:47 - 2013-05-13 05:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-11 21:47 - 2013-05-13 05:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-11 21:47 - 2013-05-10 05:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-11 21:47 - 2013-04-26 06:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-11 21:47 - 2013-04-26 01:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-11 21:46 - 2013-05-08 07:38 - 01293672 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-11 21:46 - 2013-05-06 07:06 - 03968872 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-06-11 21:46 - 2013-05-06 07:06 - 03913576 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-06-11 21:46 - 2013-04-17 09:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll

==================== One Month Modified Files and Folders ========

2013-07-08 16:42 - 2012-10-11 11:00 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-08 16:42 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\tracing
2013-07-08 08:03 - 2011-07-07 21:21 - 01725436 ____A C:\Windows\WindowsUpdate.log
2013-07-08 07:23 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-07-08 06:41 - 2009-07-14 06:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-08 06:41 - 2009-07-14 06:34 - 00014032 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-08 06:40 - 2012-05-14 22:53 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-07-08 06:33 - 2009-07-14 06:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-08 06:33 - 2009-07-14 06:39 - 00048238 ____A C:\Windows\setupact.log
2013-07-07 22:58 - 2013-07-07 22:58 - 00000000 ____D C:\FRST
2013-07-07 21:50 - 2009-07-14 06:34 - 00110592 ____A C:\Windows\System32\umstartup.etl
2013-07-07 21:49 - 2011-07-07 21:39 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-07 21:27 - 2013-07-08 16:43 - 01373373 ____A (Farbar) C:\Users\x\Desktop\FRST.exe
2013-07-03 01:57 - 2013-07-03 01:57 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-07-02 00:37 - 2013-05-07 23:18 - 00067168 ____A (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avnetflt.sys
2013-06-30 21:21 - 2013-06-27 19:47 - 00000000 ____D C:\Users\x\Desktop\Stoffe 2
2013-06-29 23:55 - 2011-07-31 22:45 - 00104022 ____A C:\Windows\PFRO.log
2013-06-27 19:46 - 2013-03-23 17:56 - 00000000 ____D C:\Users\x\Desktop\Bilder 23-03-2013
2013-06-27 08:19 - 2013-06-27 08:16 - 268212175 ____A C:\Users\x\Downloads\Neu-Erscheinung.wma
2013-06-27 08:13 - 2013-06-27 08:10 - 119299948 ____A C:\Users\x\Downloads\Die Känguru-Chroniken.wma
2013-06-27 08:12 - 2013-06-27 08:10 - 76649412 ____A C:\Users\x\Downloads\Das Leben ist keine Waldorfschule.wma
2013-06-24 22:38 - 2013-06-24 22:36 - 00000000 ____D C:\Users\x\Desktop\Bilder 24-06-2013
2013-06-18 02:23 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-06-13 19:05 - 2011-07-12 23:39 - 00000000 ___AD C:\Users\x\Desktop\Studium
2013-06-13 16:40 - 2013-06-13 16:40 - 00074526 ____A C:\Users\x\Downloads\774663_sa7eantfqv.odt
2013-06-12 23:45 - 2013-06-12 23:37 - 00000000 ____D C:\Users\x\Desktop\sammlung iserlohn
2013-06-12 03:24 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-06-12 03:02 - 2011-08-01 18:28 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-12 00:24 - 2012-04-15 06:56 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-12 00:24 - 2011-07-14 21:01 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-11 22:11 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2013-06-08 13:42 - 2013-06-12 03:06 - 01141248 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-08 13:40 - 2013-06-12 03:06 - 14327808 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-08 13:40 - 2013-06-12 03:06 - 13760512 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-08 13:40 - 2013-06-12 03:06 - 02046976 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-08 13:40 - 2013-06-12 03:06 - 00391168 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-08 13:13 - 2013-06-12 03:06 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-03-20 10:15

==================== End Of Log ============================
         
und die Addition:

Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 04-07-2013
Ran by x at 2013-07-08 16:44:30
Running from C:\Users\x\Desktop
Boot Mode: Normal
==========================================================


==================== Installed Programs =======================

Adobe Flash Player 11 Plugin (Version: 11.7.700.224)
Adobe Reader X (10.1.7) - Deutsch (Version: 10.1.7)
ATI - Dienstprogramm zur Deinstallation der Software (Version: 6.14.10.1022)
ATI Catalyst Install Manager (Version: 3.0.624.0)
ATI Uninstaller (Version: 8.383.1.1-070621a-049739C-Lenovo)
Avira Free Antivirus (Version: 13.0.0.3737)
Catalyst Control Center Core Implementation (Version: 2007.0621.1715.28924)
Catalyst Control Center Graphics Full Existing (Version: 2007.0621.1715.28924)
Catalyst Control Center Graphics Full New (Version: 2007.0621.1715.28924)
Catalyst Control Center Graphics Light (Version: 2007.0621.1715.28924)
Catalyst Control Center Graphics Previews Vista (Version: 2007.0621.1715.28924)
Catalyst Control Center Localization German (Version: 2007.0621.1715.28924)
CCC Help German (Version: 2007.0621.1714.28924)
ccc-Branding (Version: 1.00.0000)
ccc-core-static (Version: 2007.0621.1715.28924)
ccc-utility (Version: 2007.0621.1715.28924)
D3DX10 (Version: 15.4.2368.0902)
EVEREST Home Edition v2.20 (Version: 2.20)
GeoGebra 4.2 (Version: 4.2.47.0)
Java Auto Updater (Version: 2.0.6.1)
Java(TM) 6 Update 29 (Version: 6.0.290)
Lexware buchhalter 2011 (Version: 16.30.00.0179)
Lexware Elster (Version: 9.10.00.0041)
Lexware Info Service (Version: 2.70.00.0081)
Lexware online banking (Version: 11.00.00.0039)
Logitech ImageStudio (Version: 7.30.0000)
McAfee Security Scan Plus (Version: 3.0.318.3)
Mesh Runtime (Version: 15.4.5722.2)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30320)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30320)
Microsoft Application Error Reporting (Version: 12.0.6012.5000)
Microsoft Silverlight (Version: 5.1.20125.0)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version: 10.0.40219)
Microsoft WSE 3.0 Runtime (Version: 3.0.5305.0)
mIRC (Version: 7.25)
Mozilla Firefox 22.0 (x86 de) (Version: 22.0)
Mozilla Maintenance Service (Version: 22.0)
MSVCRT (Version: 15.4.2862.0708)
OpenOffice.org 3.3 (Version: 3.3.9567)
Red Faction
SAMSUNG USB Driver for Mobile Phones (Version: 1.4.8.0)
ScummVM 1.3.1
Skins (Version: 2007.0621.1715.28924)
Skype™ 5.10 (Version: 5.10.116)
ThinkPad Power Management Driver (Version: 1.43)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2836939) (Version: 1)
VLC media player 1.1.11 (Version: 1.1.11)
Vocximily
Vodafone Mobile Connect Lite (Version: 9.4.2.14731)
Winamp (Version: 5.621 )
Winamp Erkennungs-Plug-in (HKCU Version: 1.0.0.1)
Windows Live Communications Platform (Version: 15.4.3502.0922)
Windows Live Essentials (Version: 15.4.3502.0922)
Windows Live Essentials (Version: 15.4.3538.0513)
Windows Live ID Sign-in Assistant (Version: 7.250.4232.0)
Windows Live Installer (Version: 15.4.3502.0922)
Windows Live Mesh (Version: 15.4.3502.0922)
Windows Live Mesh ActiveX control for remote connections (Version: 15.4.5722.2)
Windows Live Messenger (Version: 15.4.3538.0513)
Windows Live Photo Common (Version: 15.4.3502.0922)
Windows Live PIMT Platform (Version: 15.4.3508.1109)
Windows Live Remote Client (Version: 15.4.5722.2)
Windows Live Remote Client Resources (Version: 15.4.5722.2)
Windows Live Remote Service (Version: 15.4.5722.2)
Windows Live Remote Service Resources (Version: 15.4.5722.2)
Windows Live SOXE (Version: 15.4.3502.0922)
Windows Live SOXE Definitions (Version: 15.4.3502.0922)
Windows Live UX Platform (Version: 15.4.3502.0922)
Windows Live UX Platform Language Pack (Version: 15.4.3508.1109)
WinRAR 4.01 (32-Bit) (Version: 4.01.0)
World of Warcraft (Version: 4.3.0.15050)

==================== Restore Points  =========================


==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {11EFA8E8-BB42-4930-8C7A-8A64F4DAA003} - System32\Tasks\Microsoft\Windows Live\SOXE\Extractor Definitions Update Task
Task: {32BB66FB-8FF8-4C24-AB40-B0E5CF8E37FE} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2010-02-11] (Microsoft Corporation)
Task: {4F8FD269-CE22-44ED-9BB0-9ECA73BCBD73} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-06-12] (Adobe Systems Incorporated)
Task: {CFB058E7-ADDC-41E9-869E-96935ED7E8E0} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe [2010-11-20] (Microsoft Corporation)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (07/08/2013 06:33:31 AM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/08/2013 00:03:42 AM) (Source: VMCService) (User: )
Description: GetLoggedOnUser

Error: (07/07/2013 11:58:45 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 11:48:58 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 11:26:27 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:51:33 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:42:15 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:38:33 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:36:30 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:32:51 PM) (Source: VMCService) (User: )
Description: conflictManagerTypeValue


System errors:
=============
Error: (07/08/2013 06:33:00 AM) (Source: atikmdag) (User: )
Description: Unknown EDID version

Error: (07/08/2013 06:33:00 AM) (Source: atikmdag) (User: )
Description: Unknown EDID version

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
AFD
avipbb
avkmgr
CSC
DfsC
discache
NetBIOS
NetBT
nsiproxy
Psched
rdbss
spldr
ssmdrv
tdx
Wanarpv6
WfpLwf

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SMB 2.0-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SMB 1.x-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "SMB-Miniredirector-Wrapper und -Modul" ist vom Dienst "Umgeleitetes Puffersubsystem" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%31

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "IP-Hilfsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Arbeitsstationsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%1068

Error: (07/08/2013 06:20:27 AM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Netzwerkspeicher-Schnittstellendienst" ist vom Dienst "NSI proxy service driver." abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 
%%31


Microsoft Office Sessions:
=========================
Error: (07/08/2013 06:33:31 AM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/08/2013 00:03:42 AM) (Source: VMCService)(User: )
Description: GetLoggedOnUser

Error: (07/07/2013 11:58:45 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 11:48:58 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 11:26:27 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:51:33 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:42:15 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:38:33 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:36:30 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue

Error: (07/07/2013 09:32:51 PM) (Source: VMCService)(User: )
Description: conflictManagerTypeValue


==================== Memory info =========================== 

Percentage of memory in use: 32%
Total physical RAM: 2046.43 MB
Available physical RAM: 1375.69 MB
Total Pagefile: 4092.86 MB
Available Pagefile: 3159.74 MB
Total Virtual: 2047.88 MB
Available Virtual: 1928.95 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:55.88 GB) (Free:16.34 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: (INTENSO) (Removable) (Total:3.62 GB) (Free:3.61 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 56 GB) (Disk ID: 1669C708)
Partition 1: (Active) - (Size=56 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 04DD5721)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)

==================== End Of Log ============================
         


Alt 08.07.2013, 17:02   #6
aharonov
/// TB-Ausbilder
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Hallo,

Zitat:
Ich hoffe meine Verlobte war nicht nochmal am Laptop im Laufe des Tages.
Also ich hab keine weiteren Schäden bemerkt..
Aber verzichtet im Moment noch auf "unnötiges" Surfen, bis wir hier fertig sind (geht nicht mehr lange). Es besteht weiterhin die Gefahr einer Neuinfektion.

Wie läuft der Rechner? Alles normal?


Schritt 1

Lade dir TFC (von Oldtimer) herunter und speichere es auf den Desktop.
  • Öffne die TFC.exe.
    Vista und Win 7 User mit Rechtsklick "als Administrator starten".
  • Schliesse alle anderen Programme.
  • Drücke auf den Button Start.
  • Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.



Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.




Schritt 3


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Bitte poste in deiner nächsten Antwort:
  • Log von MBAM
  • Log von ESET
__________________
--> GVU-Trojaner - Komme bis zur Eingabeaufforderung

Alt 08.07.2013, 22:04   #7
Cestus
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Rechner läuft im Rahmen seiner geringen Möglichkeiten normal. Danke schonmal bis hierher.

Puah, das war nen Marathon mit ESET, dafür war er aber im Ergebnis beruhigend *hoffe ich* ^^
Hier die beiden Logs

MBAM:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.08.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16618
x :: X-PC [Administrator]

08.07.2013 17:12:25
mbam-log-2013-07-08 (17-12-25).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 199361
Laufzeit: 10 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qcgce2mrvjq91kk1e7pnbb19m52fx (Trojan.Agent) -> Daten: C:\Users\x\AppData\Local\Temp\qntgqhnbuhynqvtph.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
und ESET:
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=8eb75dc56239a64384f89fc20eefbba4
# engine=14319
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-08 04:07:20
# local_time=2013-07-08 06:07:20 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 64000 238722930 120774 0
# compatibility_mode=5893 16776574 100 94 14738989 124930831 0 0
# scanned=3772
# found=0
# cleaned=0
# scan_time=1756
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=8eb75dc56239a64384f89fc20eefbba4
# engine=14319
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-08 07:57:43
# local_time=2013-07-08 09:57:43 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 77823 238736753 134597 0
# compatibility_mode=5893 16776574 100 94 14752812 124944654 0 0
# scanned=103261
# found=0
# cleaned=0
# scan_time=13655
         

Alt 09.07.2013, 00:49   #8
aharonov
/// TB-Ausbilder
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Hi,

ja das sieht gut aus.
Bring noch die Software uptodate und dann räumen wir auf.


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 25.
  • Gehe zu
    Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
    Start --> Systemsteuerung --> Software (bei Win XP)
    und deinstalliere alle älteren Java-Versionen.
In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:
  • Lade dir die neueste Java-Version herunter.
  • Schliesse alle laufenden Programme, speziell den Browser.
  • Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
  • Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".



Schritt 2

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:
  • Deinstalliere bitte deine aktuelle Version von Adobe Reader über
    Start --> Systemsteuerung --> Software (bei Windows XP)
    Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)
  • Besuche diese Seite von Adobe.
  • Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
  • Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
  1. Bei MBAM würd ich dir unbedingt empfehlen, es zu behalten und wöchentlich einen Quick-Scan durchzuführen. Wenn du es nicht weiter verwenden möchtest, kannst du es jetzt normal über die Systemsteuerung deinstallieren.
  2. Auch den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
  3. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
    • Schliesse alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
  4. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.




>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus.

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
  • Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
  • Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
  • Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
  • Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
  • Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
  • Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
  • Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
  • Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
  • NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
  • Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
  • Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
  • Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
  • Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
  • Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
  • Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
  • Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
  • Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
  • Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:
  • Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
  • Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
  • Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
  • Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
  • Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.
__________________
cheers,
Leo

Alt 09.07.2013, 06:30   #9
Cestus
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Vielen Dank für die Hilfe Ließe es sich einrichten, hättest du dir ein hühles Blondes verdient.

DelfFix muss noch drüber, dann habe ich alle Schritte erledigt. Die Schritte waren wirklich sehr anfängerfreundlich erklärt und verständlich, danke auch dafür.

Alt 09.07.2013, 10:46   #10
aharonov
/// TB-Ausbilder
 
GVU-Trojaner - Komme bis zur Eingabeaufforderung - Standard

GVU-Trojaner - Komme bis zur Eingabeaufforderung



Danke für die Rückmeldung.


Freut mich, dass wir helfen konnten.

Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________
cheers,
Leo

Antwort

Themen zu GVU-Trojaner - Komme bis zur Eingabeaufforderung
adobe, adobe flash player, antivir, association, avg, avira, crypt, desktop, explorer, explorer.exe, farbar, farbar recovery scan tool, flash player, frage, frst.exe, frst.txt, gebraucht, log, microsoft, mozilla, nvidia, opera, registry, scan, security, services.exe, svchost.exe, system, temp, winlogon.exe



Ähnliche Themen: GVU-Trojaner - Komme bis zur Eingabeaufforderung


  1. GVU Trojaner-Abgesicherter Modus mit Eingabeaufforderung funktioniert nicht
    Log-Analyse und Auswertung - 09.02.2014 (3)
  2. GVU Trojaner-Abgesicherter Modus mit Eingabeaufforderung funktioniert nicht
    Log-Analyse und Auswertung - 07.01.2014 (6)
  3. GVU Trojaner-Abgesicherter Modus mit Eingabeaufforderung funktioniert nicht
    Alles rund um Windows - 24.12.2013 (2)
  4. GVU trojaner abgessicherter modus mit eingabeaufforderung gunktioniert nicht
    Log-Analyse und Auswertung - 12.10.2013 (6)
  5. GVA-Trojaner mit Webcambild, abgesicherter Modus mit Eingabeaufforderung nicht möglich
    Log-Analyse und Auswertung - 10.10.2013 (9)
  6. BKA/Interpol-Trojaner - Win 7 - Nur abgesicherter Modus mit Eingabeaufforderung möglich
    Plagegeister aller Art und deren Bekämpfung - 27.08.2013 (9)
  7. Win 7 (64): GVU/BKA Trojaner - nur abgesicherter Modus mit Eingabeaufforderung möglich
    Plagegeister aller Art und deren Bekämpfung - 01.08.2013 (15)
  8. GVU Trojaner? Weißer Bildschirm, Rechner startet nur abgesichrt mit Eingabeaufforderung
    Log-Analyse und Auswertung - 07.07.2013 (8)
  9. GVU Trojaner – Booten von CD und USB nicht möglich, abgesicherter Modus nur mit Eingabeaufforderung möglich
    Log-Analyse und Auswertung - 06.07.2013 (39)
  10. GVU-Trojaner (abgesicherter Modus mit Eingabeaufforderung funktioniert nicht)
    Plagegeister aller Art und deren Bekämpfung - 14.06.2013 (11)
  11. GVU-Trojaner, PC funktioniert nur im abgesicherten Modus mit Eingabeaufforderung
    Log-Analyse und Auswertung - 28.04.2013 (23)
  12. Wie entferne ich Virus oder Trojaner nur mit abgesichertem Modus und Eingabeaufforderung?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2013 (1)
  13. Polizei Trojaner - nur abgesicherter Modus mit Eingabeaufforderung funktioniert
    Log-Analyse und Auswertung - 23.01.2013 (9)
  14. GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich
    Plagegeister aller Art und deren Bekämpfung - 08.01.2013 (15)
  15. GVU Trojaner, nur noch abgesicherter Modus mit Eingabeaufforderung möglich
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (28)
  16. AKM Trojaner - Behebung im abges. Modus mit Eingabeaufforderung
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  17. Trojaner TR/Vundo (komme nicht weiter)
    Log-Analyse und Auswertung - 19.04.2008 (8)

Zum Thema GVU-Trojaner - Komme bis zur Eingabeaufforderung - Hallo zusammen und danke schonmal, dass ihr trotz wiederholtem Male der Frage euch die Zeit nehmt euch meines Problems anzunehmen. Wie im Threadtitel beschrieben, hat sich mein LapTop den GVU-Trojaner - GVU-Trojaner - Komme bis zur Eingabeaufforderung...
Archiv
Du betrachtest: GVU-Trojaner - Komme bis zur Eingabeaufforderung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.