| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU - Trojaner PC komplett gesperrtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.01.2013, 22:04
| #1 |
| |  GVU - Trojaner PC komplett gesperrt Hallo, ich habe mir vorgestern den GVU-Trojaner an meinem PC eingefangen (Windows XP -SP3). Ich habe versucht den Rechner im abgesicherten Modus zu starten. Dies hat nicht funktioniert. Rechner bleibt weiterhin gesperrt. Über die homepage der offiziellen GVU bin ich auf euch gekommen. In euerm Blog habe ich bereits einiges gelesen. Verstanden habe ich, das jeder Rechner individuell zu behandeln ist. Könnt ihr mir helfen? Wie muss ich vorgehen? Ich merke an, dass ich kein PC-Crack bin (nur Anwender) und mich in den Tiefen des Systems nicht wirklich auskenne. In der Hoffnung, das ihr mir helfen könnt racer9597 |
|
10.01.2013, 22:12
| #2 |
| /// TB-Ausbilder  | GVU - Trojaner PC komplett gesperrt Dann hab ich eine brandneue Anleitung für dich, wenn es dir nichts ausmacht mein Versuchskaninchen zu sein
__________________  Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.  Bitte Lesen: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Gelesen und verstanden? Computer entsperren mit HitmanPro.Kickstart
__________________ |
|
12.01.2013, 10:28
| #3 |
| /// TB-Ausbilder | GVU - Trojaner PC komplett gesperrt Fehlende Rückmeldung
__________________Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ |
|
12.01.2013, 19:04
| #4 |
| | GVU - Trojaner PC komplett gesperrt Hallo, sorry, das ich mich nicht so schnell gemeldet habe. Ich war kurzfristig beruflich unterwegs und hatte somit keinen Zugriff auf den Rechner. Ich möchte natürlich noch weiter machen. Also, ich habe das Programm runter geladen, auf den Stick gepackt und den Rechner gestartet. Es kam das Boot-Menue und es wurde automatsch Nr. 1 gestartet. Dann passierte minutenlang nichts. Daraufhin habe ich den Rechner nochmals gestartet und Nr. 2 gewählt. Auch hier passierte nichts, heisst nur "schwarzer Bildschirm". Bin ich zu ungeduldig? |
|
12.01.2013, 21:29
| #5 |
| /// TB-Ausbilder | GVU - Trojaner PC komplett gesperrt Nein. Evtl funktioniert das so einfach nicht. Dann probieren wir es anders: Computer mit Combofix entsperren Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
12.01.2013, 21:58
| #6 |
| | GVU - Trojaner PC komplett gesperrt Hallo, bevor ich das o. G. durchführe, noch Folgendes. Nachdem des mit dem HitmanPro nicht so recht weiter ging, habe ich den Rechner einfach mal wieder angestellt. Er lief normal hoch. Es kam eine Error Meldung mit Fenstertitel "Rundll" oder ähnlich, die nach OK-Klick keine weiteren Schwierigkeiten brachte. Ich habe dann den Einmalscan mit HitmanPro durchgeführt und auch den Logfile abgespeichert. Danach habe ich den Rechner neu gestartet. Die o.g. Meldung kam nicht mehr. Aktuell sieht es so aus, als wenn der Rechner normal läuft. Solch ich das oben Genannte noch durchführen? Oder Logfile posten? |
|
12.01.2013, 21:59
| #7 |
| /// TB-Ausbilder | GVU - Trojaner PC komplett gesperrt Das sind natürlich gute Neuigkeiten. Bitte zeig mal das Logfile: So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
12.01.2013, 22:14
| #8 |
| | GVU - Trojaner PC komplett gesperrtCode:
ATTFilter
|
|
12.01.2013, 22:18
| #9 |
| /// TB-Ausbilder | GVU - Trojaner PC komplett gesperrt Ok gut, dann hat das schon mal bis dahin geklappt. Wir müssen sicher noch was aufräumen: Schritt 1: Deinstallation von Programmen Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen
Schritt 3: Temporäre Dateien löschen mit TFC
Schritt 4: Scan mit Combofix
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
12.01.2013, 23:17
| #10 |
| | GVU - Trojaner PC komplett gesperrt puh, ich habe alle Schritte durchgeführt. Eingefügt noch die logfiles. Code:
ATTFilter # AdwCleaner v2.105 - Datei am 12/01/2013 um 22:37:48 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Administrator - YOUR-F94CA7D0C0
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\Programme\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\user.js
Ordner Gelöscht : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BabylonToolbar
Ordner Gelöscht : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\boost_interprocess
Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Babylon
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\DealPly
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2125529
Schlüssel Gelöscht : HKLM\Software\Conduit
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?AF=100482&babsrc=NT_ss&mntrId=ac3f3e9d000000000000001999543942 --> hxxp://www.google.com
-\\ Opera v [Version kann nicht ermittelt werden]
Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [3122 octets] - [12/01/2013 22:35:54]
AdwCleaner[S1].txt - [3091 octets] - [12/01/2013 22:37:48]
########## EOF - C:\AdwCleaner[S1].txt - [3151 octets] ##########
Code:
ATTFilter ComboFix 13-01-12.01 - Administrator 12.01.2013 23:05:17.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Eigene Dateien\~WRL0005.tmp
c:\dokumente und einstellungen\Administrator\WINDOWS
C:\Install.exe
c:\windows\IsUn0407.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-12-12 bis 2013-01-12 ))))))))))))))))))))))))))))))
.
.
2013-01-12 19:31 . 2013-01-12 19:31 30616 ----a-w- c:\windows\system32\drivers\hitmanpro37.sys
2013-01-12 19:07 . 2013-01-12 19:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HitmanPro
2013-01-05 13:54 . 2013-01-05 13:54 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DataDesign
2013-01-05 13:16 . 2013-01-05 13:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Lexware
2013-01-05 13:15 . 2013-01-05 13:16 -------- d-----w- c:\programme\Wertpapieranalyse 2012
2013-01-05 13:15 . 2013-01-05 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\World Money
2013-01-05 13:15 . 2013-01-05 13:15 -------- d-----w- c:\programme\Gemeinsame Dateien\DataDesign
2013-01-05 13:13 . 2013-01-05 13:16 -------- d-----w- c:\programme\Lexware
2013-01-05 13:13 . 2013-01-06 11:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2013-01-04 16:59 . 2013-01-05 13:16 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Lexware
2013-01-04 16:59 . 2013-01-05 13:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Lexware
2013-01-04 15:19 . 2013-01-04 15:21 -------- d-----w- c:\windows\system32\NtmsData
2013-01-04 15:19 . 2013-01-04 15:19 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-12 18:55 . 2012-04-20 15:48 697864 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-01-12 18:55 . 2011-06-18 09:24 74248 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-16 12:23 . 2008-05-17 00:33 290560 ----a-w- c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2008-05-17 00:34 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-11-02 02:02 . 2008-05-17 00:33 375296 ----a-w- c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2008-05-17 00:34 916992 ----a-w- c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2008-05-17 00:34 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2008-05-17 00:34 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2008-05-17 00:34 385024 ----a-w- c:\windows\system32\html.iec
2012-10-29 09:10 . 2012-10-29 09:10 227216 ----a-w- c:\windows\system32\ddBACCTM.cpl
2012-10-29 09:10 . 2012-10-29 09:10 825232 ----a-w- c:\windows\system32\Ddbaccpl.cpl
2012-11-29 08:26 . 2012-12-08 16:33 262112 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-25 39408]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"nwiz"="nwiz.exe" [2008-10-07 1630208]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-04-29 2221352]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-04 16858112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2006-07-12 237568]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2007-12-19 1748992]
"AdobeAAMUpdater-1.0"="c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-07-29 497648]
"F-Secure Manager"="c:\programme\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE" [2012-07-03 310992]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"F-Secure Hoster (666)"="c:\programme\F-Secure\fshoster32.exe" [2012-08-27 167632]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
phase6_18_erinnerung.lnk - c:\programme\phase6\phase6_18\WinStart\WinStart.exe [2006-5-5 49152]
Quicken Jubiläumsversion Zahlungserinnerung.lnk - c:\windows\Installer\{A907A713-DA24-4352-8786-96C7A6944646}\BillMinder.8C5DA79E_7079_4AB3_81F7_712153351D0D.exe [2013-1-5 40960]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\devolo\\dlanwlancfg\\dlanwlancfg.exe"=
"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Programme\\Metin2_Germany\\metin2client.bin"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7303:UDP"= 7303:UDP:Control Center UDP Port
"2491:TCP"= 2491:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R2 gupdate1c9ad6832489e56;Google Update Service (gupdate1c9ad6832489e56);c:\programme\Google\Update\GoogleUpdate.exe [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [x]
R3 CMISTOR;CMIUCR.SYS CM320/CM220 Card Reader Driver;c:\windows\system32\DRIVERS\cmiucr.SYS [x]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [x]
R3 hitmanpro37;HitmanPro 3.7 Support Driver;c:\windows\system32\drivers\hitmanpro37.sys [x]
R3 KUSBusByTCPMasterBus;KUSBusByTCPMasterBus;c:\windows\system32\Drivers\KUSBusByTCPMasterBus.sys [x]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [x]
S0 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [x]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\programme\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [x]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]
S2 AdobeActiveFileMonitor9.0;Adobe Active File Monitor V9;c:\programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe [x]
S2 fshoster;F-Secure Dll Hoster;c:\programme\F-Secure\fshoster32.exe [x]
S2 FSORSPClient;F-Secure ORSP Client;c:\programme\F-Secure\apps\CCF_Reputation\fsorsp.exe [x]
S2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [x]
S2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [x]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programme\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [x]
S3 fsni;fsni;c:\programme\F-Secure\apps\CCF_Scanning\fsnixp32.sys [x]
S3 fsnitdi;fsnitdi;c:\programme\F-Secure\apps\CCF_Scanning\fsnitdi32.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-20 18:55]
.
2011-11-03 c:\windows\Tasks\AdobeAAMUpdater-1.0-YOUR-F94CA7D0C0-Administrator.job
- c:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-07-29 00:25]
.
2013-01-06 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-25 12:23]
.
2013-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac610f6e0d8ac.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-25 16:38]
.
2013-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-25 16:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.heute.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\Office\Office12\EXCEL.EXE/3000
TCP: Interfaces\{AC751D29-ABE2-4F47-A464-43543290DBEF}: NameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\96zmj8k9.default-1355053636953\
FF - prefs.js: browser.startup.homepage - hxxp://www.wetter.com/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Die Sims - c:\windows\IsUn0407.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-Windows CE Services - c:\windows\ISUN0407.EXE
AddRemove-FoxTab PDF Creator - c:\programme\FoxTabPDFConverter\Uninstall\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-12 23:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fshoster]
"ImagePath"="c:\programme\F-Secure\fshoster32.exe -hosterid:0"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1356429003-694207761-3492879218-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b1,ac,f6,55,d5,4a,92,40,b6,50,da,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d7,9d,69,9f,9c,7c,90,41,81,0e,e9,\
.
[HKEY_USERS\S-1-5-21-1356429003-694207761-3492879218-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:00,31,6f,90,f3,30,1f,a9,9d,ea,bf,db,e4,30,82,48,b7,ad,7d,2d,8f,de,ba,
22,22,b6,95,fb,7d,bc,6a,8f,d3,ee,89,55,9a,f2,b7,f9,9a,29,3a,5f,de,13,27,ab,\
"??"=hex:72,ba,d7,15,4a,c9,21,0c,22,4b,c0,ff,1e,23,1d,80
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\software\F-Secure\My Services Agent\Protected]
@Denied: ) (Everyone)
"AgentIdentifier"="297fd1a6-cc1d-46cb-a8a3-b2a38e6606f4"
"AuthorizationCode"="n3jrK4LKccjdBNi5XIbcbGXn*Q2KeLgd9OUOPyTmrVnUxknTh5H4ng"
"666_AgentIdentifier"="297fd1a6-cc1d-46cb-a8a3-b2a38e6606f4"
"666_AuthorizationCode"="n3jrK4LKccjdBNi5XIbcbGXn*Q2KeLgd9OUOPyTmrVnUxknTh5H4ng"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(716)
c:\programme\f-secure\apps\computersecurity\hips\fshook32.dll
.
Zeit der Fertigstellung: 2013-01-12 23:10:25
ComboFix-quarantined-files.txt 2013-01-12 22:10
.
Vor Suchlauf: 10 Verzeichnis(se), 192.834.650.112 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 193.287.483.392 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 00487C82BB86D5607262D4452811D2A8
|
|
13.01.2013, 09:57
| #11 |
| /// TB-Ausbilder | GVU - Trojaner PC komplett gesperrt Gut!  Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Schritt 2: ESET Online Scanner Wichtig: Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
13.01.2013, 14:21
| #12 |
| | GVU - Trojaner PC komplett gesperrt o.k. Ich habe alle Schritte durchgeführt. Hier die files 1.Quickscan mit Malwarebytes Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.01.13.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrator :: YOUR-F94CA7D0C0 [Administrator] Schutz: Aktiviert 13.01.2013 12:01:41 mbam-log-2013-01-13 (12-01-41).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 205967 Laufzeit: 5 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) 2. ESET onlinescanner Code:
ATTFilter C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\dd9bd82-4edf1f32 Java/Exploit.CVE-2012-1723.AZ trojan
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\14a47955-269d33c0 multiple threats
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\37a50918-10867225 Java/Exploit.Agent.NDI trojan
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\3a0bba59-493922fe Java/Agent.FI trojan
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28\c7d81c-49c2be0a Win32/Reveton.N trojan
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\148e3a43-1d1946d2 Java/Agent.FH trojan
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\180881e8-176cc9d5 multiple threats
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\2bd12fb1-3d2803c7 Java/Agent.FH trojan
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\4e2ce57a-33324a6c multiple threats
Code:
ATTFilter Results of screen317's Security Check version 0.99.56 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Anti-Virus Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 JavaFX 2.1.1 Java 7 Update 9 Adobe Flash Player 11.5.502.146 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (17.0.1) Mozilla Thunderbird (17.0.) ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe F-Secure apps ComputerSecurity Anti-Virus\FSGK32.EXE F-Secure apps ComputerSecurity Anti-Virus\fssm32.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` |
|
13.01.2013, 14:40
| #13 |
| /// TB-Ausbilder | GVU - Trojaner PC komplett gesperrt Gut soweit. Bitte jetzt nicht vergessen den JavaCache zu leeren: Schritt 1: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können. Schritt 2: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck: LINK1 LINK2
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
13.01.2013, 15:39
| #14 |
| | GVU - Trojaner PC komplett gesperrt ich habe die Schritte durchgeführt. Hier das Ergbnis von SecurityCheck Code:
ATTFilter Results of screen317's Security Check version 0.99.56 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Anti-Virus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java 7 Update 10 Java version out of Date! Adobe Flash Player 11.5.502.146 Adobe Reader XI Mozilla Firefox (17.0.1) Mozilla Thunderbird (17.0.) ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe F-Secure apps ComputerSecurity Anti-Virus\FSGK32.EXE F-Secure apps ComputerSecurity Anti-Virus\fssm32.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` |
|
13.01.2013, 16:41
| #15 |
| /// TB-Ausbilder | GVU - Trojaner PC komplett gesperrt Prima! Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: ESET deinstallieren (Optional)
Abschließend noch Tipps zu folgenden Themen:
Lesestoff: Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff: Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff: Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
Lesestoff: Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu GVU - Trojaner PC komplett gesperrt |
| abgesicherte, abgesicherten, anwender, bereits, eingefangen, funktionier, gefangen, gen, gesperrt, gvu - trojaner, gvu trojaner windows xp, hoffnung, homepage, komplett, modus, offizielle, rechner, starte, systems, troja, trojaner, versuch, versucht, vorgehen, windows, windows xp, wirklich |
Button.
und dann 
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
