| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.12.2012, 18:44
| #1 |
 |  GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Hallo Ich habe mir einen GVU Trojaner eingefangen. Dieser verlangt von mir innerhalb von 48 Stunden per Safepaycard 100 Euro zu bezahlen, da mir sonst ein Strafverfahren drohe. Er tritt nur auf wenn ich eine Internetverbindung meines Laptops zu lasse. Kurz nachdem dann die Verbindung aufgebaut ist erscheint dann besagter Bildschirm, der auch über eine Kamera verfügt. (Da die IP Adresse nicht stimmte habe ich bei der GVU angerufen, die mich dann an euch verwiesen haben  ).Mein Laptop ist der Dell latitude D630, mit dem System Windows XP, SP 3. Ich hoffe ihr könnt mir weiterhelfen. Habe mir auch schon OTL besorgt, aber noch keinen Scan gemacht. lg, Feen |
|
19.12.2012, 18:46
| #2 |
| /// Malware-holic   | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Hi
__________________neustarten, f8 drücken, abgesicherter Modus mit Netzwerk wählen, im betroffenen Konto anmelden, Internet Verbindung herstellen. Wenn dies geht: Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
__________________ |
|
19.12.2012, 18:53
| #3 |
| | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. OTL EXTRAS Logfile:
__________________Code:
ATTFilter OTL Extras logfile created on: 19.12.2012 18:59:26 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,99 Gb Total Physical Memory | 1,73 Gb Available Physical Memory | 86,82% Memory free
3,84 Gb Paging File | 3,75 Gb Available in Paging File | 97,51% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 65,35 Gb Free Space | 87,68% Space Free | Partition Type: NTFS
Drive E: | 3,75 Gb Total Space | 3,67 Gb Free Space | 97,69% Space Free | Partition Type: FAT32
Computer Name: D630-10943B0916 | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{27E25625-DB51-42E6-BEB7-0C8DC878770C}" = Broadcom ASF Management Applications
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{72EEB695-388B-4835-8EA6-0C04545B06B9}" = Intel(R) PROSet/Wireless WiFi-Software
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8E7D7400-4F4F-409D-8F8A-43BF1DAC575A}" = TouchChip USB Driver 2.6
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller
"{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement
"{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"InstallShield_{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows XP Service Pack" = Windows XP Service Pack 3
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 30.11.2010 04:53:06 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1012
Description = Aufgrund von Hardwareänderungen auf diesem Computer, müssen Sie Windows
erneut aktivieren.
Error - 20.01.2011 10:18:13 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1009
Description = Sie haben dieses Produkt nicht fristgerecht aktiviert. Wenden Sie
sich telefonisch an den Kundendienst, um Windows zu aktivieren.
Error - 04.12.2012 13:59:22 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description =
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.
Error - 10.12.2012 11:55:03 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description =
Error - 12.12.2012 09:46:20 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description =
Error - 16.12.2012 14:34:46 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 16.12.2012 14:34:47 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 19.12.2012 13:26:45 | Computer Name = D630-10943B0916 | Source = Avira Antivirus | ID = 4122
Description = Die Datei AvShadow konnte nicht geladen werden. Fehlercode: 0x3e5
[ System Events ]
Error - 07.12.2012 11:31:43 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 14:49:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 08.12.2012 17:20:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
< End of report >
OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 19.12.2012 18:59:26 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,99 Gb Total Physical Memory | 1,73 Gb Available Physical Memory | 86,82% Memory free
3,84 Gb Paging File | 3,75 Gb Available in Paging File | 97,51% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 65,35 Gb Free Space | 87,68% Space Free | Partition Type: NTFS
Drive E: | 3,75 Gb Total Space | 3,67 Gb Free Space | 97,69% Space Free | Partition Type: FAT32
Computer Name: D630-10943B0916 | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{27E25625-DB51-42E6-BEB7-0C8DC878770C}" = Broadcom ASF Management Applications
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{72EEB695-388B-4835-8EA6-0C04545B06B9}" = Intel(R) PROSet/Wireless WiFi-Software
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8E7D7400-4F4F-409D-8F8A-43BF1DAC575A}" = TouchChip USB Driver 2.6
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller
"{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement
"{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"InstallShield_{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows XP Service Pack" = Windows XP Service Pack 3
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 30.11.2010 04:53:06 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1012
Description = Aufgrund von Hardwareänderungen auf diesem Computer, müssen Sie Windows
erneut aktivieren.
Error - 20.01.2011 10:18:13 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1009
Description = Sie haben dieses Produkt nicht fristgerecht aktiviert. Wenden Sie
sich telefonisch an den Kundendienst, um Windows zu aktivieren.
Error - 04.12.2012 13:59:22 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description =
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen
werden. Es werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene
Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information
ist DWORD 2.
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
werden keine Server-Leistungsinformationen zurückgegeben. Der zurückgegebene Fehlercode
ist DWORD 0, der IOSB.Status ist DWORD 1 und die IOSB.Information ist DWORD 2.
Error - 10.12.2012 11:55:03 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description =
Error - 12.12.2012 09:46:20 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description =
Error - 16.12.2012 14:34:46 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 16.12.2012 14:34:47 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 19.12.2012 13:26:45 | Computer Name = D630-10943B0916 | Source = Avira Antivirus | ID = 4122
Description = Die Datei AvShadow konnte nicht geladen werden. Fehlercode: 0x3e5
[ System Events ]
Error - 07.12.2012 11:31:43 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 14:49:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 08.12.2012 17:20:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
(S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
(Lokal) für die COM-Serveranwendung mit CLSID {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
geändert werden.
< End of report >
Geändert von Feen (19.12.2012 um 19:06 Uhr) |
|
19.12.2012, 19:05
| #4 |
| /// Malware-holic | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. hi dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
[2012.12.19 17:17:14 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad
:Files
:Commands
[EMPTYFLASH]
[emptytemp]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.12.2012, 19:15
| #5 |
| | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. OTL hat keinen Neustart verlangt Error: Unable to interpret <activex> in the current context! Error: Unable to interpret <netsvcs> in the current context! Error: Unable to interpret <msconfig> in the current context! Error: Unable to interpret <%SYSTEMDRIVE%\*.> in the current context! Error: Unable to interpret <%PROGRAMFILES%\*.exe> in the current context! Error: Unable to interpret <%LOCALAPPDATA%\*.exe> in the current context! Error: Unable to interpret <%systemroot%\*. /mp /s> in the current context! Error: Unable to interpret <C:\Windows\system32\*.tsp> in the current context! Error: Unable to interpret </md5start> in the current context! Error: Unable to interpret <userinit.exe> in the current context! Error: Unable to interpret <eventlog.dll> in the current context! Error: Unable to interpret <scecli.dll> in the current context! Error: Unable to interpret <netlogon.dll> in the current context! Error: Unable to interpret <cngaudit.dll> in the current context! Error: Unable to interpret <ws2ifsl.sys> in the current context! Error: Unable to interpret <sceclt.dll> in the current context! Error: Unable to interpret <ntelogon.dll> in the current context! Error: Unable to interpret <winlogon.exe> in the current context! Error: Unable to interpret <logevent.dll> in the current context! Error: Unable to interpret <user32.DLL> in the current context! Error: Unable to interpret <explorer.exe> in the current context! Error: Unable to interpret <iaStor.sys> in the current context! Error: Unable to interpret <nvstor.sys> in the current context! Error: Unable to interpret <atapi.sys> in the current context! Error: Unable to interpret <IdeChnDr.sys> in the current context! Error: Unable to interpret <viasraid.sys> in the current context! Error: Unable to interpret <AGP440.sys> in the current context! Error: Unable to interpret <vaxscsi.sys> in the current context! Error: Unable to interpret <nvatabus.sys> in the current context! Error: Unable to interpret <viamraid.sys> in the current context! Error: Unable to interpret <nvata.sys> in the current context! Error: Unable to interpret <nvgts.sys> in the current context! Error: Unable to interpret <iastorv.sys> in the current context! Error: Unable to interpret <ViPrt.sys> in the current context! Error: Unable to interpret <eNetHook.dll> in the current context! Error: Unable to interpret <ahcix86.sys> in the current context! Error: Unable to interpret <KR10N.sys> in the current context! Error: Unable to interpret <nvstor32.sys> in the current context! Error: Unable to interpret <ahcix86s.sys> in the current context! Error: Unable to interpret </md5stop> in the current context! Error: Unable to interpret <%systemroot%\system32\drivers\*.sys /lockedfiles> in the current context! Error: Unable to interpret <%systemroot%\System32\config\*.sav> in the current context! Error: Unable to interpret <%systemroot%\system32\*.dll /lockedfiles> in the current context! Error: Unable to interpret <%USERPROFILE%\*.*> in the current context! Error: Unable to interpret <%USERPROFILE%\Local Settings\Temp\*.exe> in the current context! Error: Unable to interpret <%USERPROFILE%\Local Settings\Temp\*.dll> in the current context! Error: Unable to interpret <%USERPROFILE%\Application Data\*.exe> in the current context! Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs> in the current context! Error: Unable to interpret <CREATERESTOREPOINT> in the current context! Error: Unable to interpret < > in the current context! Error: Unable to interpret < > in the current context! OTL by OldTimer - Version 3.2.69.0 log created on 12192012_191401 |
|
19.12.2012, 19:19
| #6 |
| /// Malware-holic | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Du hast ja auch nicht mein Script ausgeführt.
__________________ --> GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. |
|
19.12.2012, 19:26
| #7 |
| | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Entschuldige, bin gerade immer dabei, den einen Text auf meinem USB stick zu speichern und dann an einem anderen PC wieder zu kopieren. (mein W-Lan erreicht den Laptop hier nicht.) Dann muss mir wohl ein Script zwischendrin durcheinander gekomme sein. |
|
19.12.2012, 19:27
| #8 |
| /// Malware-holic | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Kein Problem, dann führe das neue Script aus
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.12.2012, 19:34
| #9 |
| | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. so, jetzt aber der text. OTL hat auch den Neustart ausgeführt All processes killed ========== OTL ========== C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator User: All Users User: D630 ->Flash cache emptied: 10353 bytes User: Default User User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 109743 bytes User: All Users User: D630 ->Temp folder emptied: 972583 bytes ->Temporary Internet Files folder emptied: 75172685 bytes ->FireFox cache emptied: 369643641 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134333 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 187168 bytes RecycleBin emptied: 78590 bytes Total Files Cleaned = 428,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 12192012_192926 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... |
|
19.12.2012, 20:24
| #10 | |
| /// Malware-holic | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Hi, combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.12.2012, 21:04
| #11 |
| | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Combofix wollte keinen Neustart. Hier die Log.exe Combofix Logfile: Code:
ATTFilter ComboFix 12-12-19.02 - D630 19.12.2012 20:57:25.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1530 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\D630\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-11-19 bis 2012-12-19 ))))))))))))))))))))))))))))))
.
.
2012-12-19 18:14 . 2012-12-19 18:14 -------- d-----w- C:\_OTL
2012-12-19 17:29 . 2012-12-19 17:50 -------- d-----w- c:\dokumente und einstellungen\Administrator
2012-12-18 20:45 . 2012-12-18 20:45 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2012-12-18 20:21 . 2012-12-18 20:21 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-12-18 20:04 . 2012-12-19 16:20 -------- d-----w- c:\windows\system32\NtmsData
2012-12-18 19:56 . 2012-12-18 19:56 -------- d-sh--w- c:\dokumente und einstellungen\D630\PrivacIE
2012-12-10 20:58 . 2012-12-10 20:58 -------- d-----w- c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-12-10 20:57 . 2012-12-10 20:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2012-12-05 19:53 . 2012-12-05 19:53 -------- d-sh--w- c:\dokumente und einstellungen\D630\IETldCache
2012-12-04 22:28 . 2012-11-01 12:17 521728 -c----w- c:\windows\system32\dllcache\jsdbgui.dll
2012-12-04 22:27 . 2011-08-16 10:45 6144 -c----w- c:\windows\system32\dllcache\iecompat.dll
2012-12-04 22:26 . 2012-11-01 12:17 630272 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2012-12-04 22:26 . 2012-11-01 12:17 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2012-12-04 22:26 . 2012-11-01 12:17 2000384 -c----w- c:\windows\system32\dllcache\iertutil.dll
2012-12-04 22:26 . 2012-11-01 12:17 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2012-12-04 22:26 . 2012-11-01 12:17 11111424 -c----w- c:\windows\system32\dllcache\ieframe.dll
2012-12-04 22:26 . 2012-11-01 12:17 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2012-12-04 22:26 . 2012-11-01 12:17 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2012-12-04 22:25 . 2012-12-04 22:26 -------- dc-h--w- c:\windows\ie8
2012-12-04 22:17 . 2008-04-14 02:22 221184 ----a-w- c:\windows\system32\wmpns.dll
2012-12-04 18:09 . 2010-09-18 06:52 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2012-12-04 18:09 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2012-12-04 18:08 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2012-12-04 18:07 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2012-12-04 18:06 . 2012-05-28 18:16 536576 -c----w- c:\windows\system32\dllcache\msado15.dll
2012-12-04 18:05 . 2012-07-04 14:05 139784 -c----w- c:\windows\system32\dllcache\rdpwd.sys
2012-12-04 18:05 . 2011-04-30 03:01 758784 -c--a-w- c:\windows\system32\dllcache\vgx.dll
2012-12-04 18:04 . 2011-07-08 14:02 10496 -c----w- c:\windows\system32\dllcache\ndistapi.sys
2012-12-04 18:04 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-12-04 18:04 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-12-04 18:03 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2012-12-04 10:06 . 2012-12-19 16:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Nadine
2012-12-03 17:29 . 2012-12-16 18:41 -------- d-----w- c:\dokumente und einstellungen\D630\Anwendungsdaten\.minecraft
2012-12-03 17:28 . 2012-12-03 17:28 -------- d-----w- c:\windows\Sun
2012-12-03 17:28 . 2012-12-03 17:28 -------- d-----w- c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Sun
2012-12-03 17:27 . 2012-12-03 17:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2012-12-03 17:27 . 2012-12-03 17:26 821736 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-12-03 17:27 . 2012-12-03 17:26 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-12-03 17:27 . 2012-12-03 17:26 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-12-03 17:26 . 2012-12-03 17:26 -------- d-----w- c:\programme\Java
2012-12-03 17:19 . 2012-12-03 17:19 -------- d-----w- c:\dokumente und einstellungen\D630\Anwendungsdaten\Avira
2012-12-03 17:14 . 2012-12-11 13:35 134336 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-12-03 17:14 . 2012-12-11 13:35 83944 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-12-03 17:14 . 2012-11-16 19:17 36552 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-12-03 17:14 . 2012-12-03 17:14 -------- d-----w- c:\programme\Avira
2012-12-03 17:14 . 2012-12-03 17:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-12-03 17:01 . 2012-12-05 19:52 -------- d-----w- c:\windows\system32\de-de
2012-12-03 17:01 . 2012-12-03 17:01 -------- d-----w- c:\windows\l2schemas
2012-12-03 17:01 . 2012-12-03 17:01 -------- d-----w- c:\windows\system32\de
2012-12-03 17:01 . 2012-12-03 17:01 -------- d-----w- c:\windows\system32\bits
2012-12-03 16:36 . 2012-12-18 17:00 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-03 16:36 . 2012-12-18 17:00 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-03 16:30 . 2012-12-03 16:30 -------- d-----w- c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-12-03 16:30 . 2012-12-03 16:30 -------- d-----w- c:\programme\Mozilla Maintenance Service
2012-12-03 16:15 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2012-12-03 16:15 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2012-12-03 16:15 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2012-12-03 08:46 . 2012-12-03 08:46 -------- d-----w- c:\dokumente und einstellungen\D630\Anwendungsdaten\OpenOffice.org
2012-12-03 08:44 . 2012-12-03 08:44 -------- d-----w- c:\programme\OpenOffice.org 3
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-13 11:55 . 2004-08-04 12:00 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-11-06 00:41 . 2004-08-04 12:00 290560 ----a-w- c:\windows\system32\atmfd.dll
2012-11-02 02:02 . 2004-08-04 12:00 375296 ----a-w- c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2004-08-04 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 12:00 385024 ------w- c:\windows\system32\html.iec
2012-10-02 18:04 . 2004-08-04 12:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-11-29 08:26 . 2012-12-03 16:30 262112 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-11 13594624]
"nwiz"="nwiz.exe" [2009-03-11 1657376]
"NVHotkey"="nvHotkey.dll" [2009-03-11 90112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-11 86016]
"ITSecMng"="c:\programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2009-05-21 1372160]
"IntelWireless"="c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2009-05-21 1202448]
"KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2007-07-02 159744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-23 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-23 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-23 142360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-11 384800]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\D630\Startmenü\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [03.12.2012 18:14 36552]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.12.2012 18:14 85280]
R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service --> c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service [?]
R3 DXEC01;DXEC01;c:\windows\system32\drivers\dxec01.sys [02.11.2006 11:32 97536]
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-03 17:00]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\D630\Anwendungsdaten\Mozilla\Firefox\Profiles\z7vfrhqw.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-19 21:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\netprovcredman.dll
.
- - - - - - - > 'explorer.exe'(3652)
c:\windows\system32\igfxdo.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-12-19 21:01:59
ComboFix-quarantined-files.txt 2012-12-19 20:01
.
Vor Suchlauf: 7 Verzeichnis(se), 70.438.068.224 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 70.395.428.864 Bytes frei
.
- - End Of File - - F9785361BB6C3BD099354430AFFAC04B
|
|
20.12.2012, 13:44
| #12 |
| /// Malware-holic | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Hi, PC, wenn möglich, wieder ans Internet. malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.12.2012, 19:40
| #13 |
| | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Hallo hier der Logfile Malwarebytes Anti-Malware 1.65.1.1000 Malwarebytes : Free Anti-Malware download Datenbank Version: v2012.12.20.09 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 D630 :: D630-10943B0916 [Administrator] 20.12.2012 18:58:09 mbam-log-2012-12-20 (18-58-09).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 237788 Laufzeit: 37 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\1ede2ede-7c4e7901 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
|
20.12.2012, 19:42
| #14 |
| /// Malware-holic | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. lade den CCleaner standard: CCleaner Download - CCleaner 3.25.1872 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.12.2012, 19:58
| #15 |
| | GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. Adobe Flash Player 11 Plugin Adobe Systems Incorporated 18.12.2012 11.5.502.135 nötig Adobe Reader XI - Deutsch Adobe Systems Incorporated 10.12.2012 129,00MB 11.0.00 nötig Avira Free Antivirus Avira 20.12.2012 13.0.0.2890 nötig Bluetooth Stack for Windows by Toshiba TOSHIBA CORPORATION 25.11.2009 57,55MB v6.01.03(D) unbekannt Broadcom ASF Management Applications Ihr Firmenname 25.11.2009 7,22MB 10.13.02 unbekannt Broadcom Gigabit Integrated Controller Broadcom Corporation 19.10.2010 0,47MB 10.15.08 unbekannt CCleaner Piriform 25.11.2012 3.25 Conexant HDA D330 MDC V.92 Modem 19.10.2010 unbekannt Dell Touchpad Alps Electric 19.10.2010 7.1.102.7 nötig High Definition Audio Driver Package - KB835221 Microsoft Corporation 25.11.2009 nötig 20040219.000000 Intel(R) Graphics Media Accelerator Driver Intel Corporation 19.12.2012 nötig Intel(R) PROSet/Wireless WiFi-Software Intel(R) Corporation 25.11.2009 95,77MB 12.04.3000 nötig IntelliSonic Speech Enhancement Knowles Acoustics 19.10.2010 1,54MB 2.1.37 unbekannt Java 7 Update 9 Oracle 03.12.2012 128,00MB 7.0.90 unbekannt Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation nötig 20.12.2012 1.65.1.1000 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 unbekannt / nicht nötig Mozilla Firefox 17.0.1 (x86 de) Mozilla 03.12.2012 17.0.1 nötig Mozilla Maintenance Service Mozilla 03.12.2012 17.0.1 unbekannt NVIDIA Drivers NVIDIA Corporation 19.12.2012 1.3 nötig OpenOffice.org 3.2 OpenOffice.org 03.12.2012 364,00MB 3.2.9502 nötig OZ776 SCR Driver V1.1.4.202 O2Micro 19.10.2010 1.1.4.202 unbekannt SigmaTel Audio SigmaTel 25.11.2009 5.10.5210.0 unbekannt Windows Internet Explorer 8 Microsoft Corporation 04.12.2012 nicht nötig 20090308.140743 Windows XP Service Pack 3 Microsoft Corporation 03.12.2012 nötig 20080414.031514 bei den Programmen die ich mir installieren sollte war ich mir z.T. nicht ganz sicher was ich da hinter schreiben soll. |
|
| Themen zu GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. |
| 48 stunden, adresse, bezahlen, bildschirm, erscheint, euro, gesperrt, gvu entfernen, hoffe, innerhalb, interne, internetverbindung, ip adresse, kamera, laptops, latitude, scan, stunde, stunden, system, troja, trojaner, verbindung, verlangt, windows, windows xp, zahlen |
Linear-Darstellung
