Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
GVU Virus eingefangen

GVU Virus eingefangen


Log-Analyse und Auswertung: GVU Virus eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 19.05.2013, 18:38   #1
khashayar24
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Hallo,
wie viele andere auch habe ich mir trotz der neuesten Version des kostenpflichtigen Bit Defenders den GVU Virus mit Web Cam Modus eingefangen.

Ich habe mir bereits OTL.EXE auf den Desktop gezogen und zwei Logfiles erstellt, die ich anbei posten werde.

Es wäre klasse, wenn man mir helfen könnte.

Vielen Dank im Voraus.

Alt 19.05.2013, 19:48   #2
t'john
/// Helfer-Team
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen




Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
ATTFilter
:OTL

O4 - HKU\.DEFAULT..\RunOnce: [{90120000-0030-0000-0000-0000000FF1CE}] C:\WINDOWS\System32\cmd._exe (Microsoft Corporation) 
O4 - HKU\S-1-5-18..\RunOnce: [{90120000-0030-0000-0000-0000000FF1CE}] C:\WINDOWS\System32\cmd._exe (Microsoft Corporation) 
[2013.05.15 12:45:15 | 000,131,072 | ---- | C] (Hilgraeve, Inc.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lorlco.dat 
[2013.05.15 12:45:15 | 000,131,072 | ---- | C] (Hilgraeve, Inc.) -- C:\Dokumente und Einstellungen\Administrator\3905553.dll 
[2013.05.15 11:26:41 | 000,131,072 | ---- | C] (Hilgraeve, Inc.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h0wijm.dat 
[2013.05.15 12:45:17 | 000,003,062 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oclrol.js 
[2013.05.15 12:45:16 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oclrol.pad 
[2013.05.15 11:26:46 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mjiw0h.pad 
[2012.07.31 01:05:29 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ras_0oed.pad 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\*.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\*.exe
C:\Dokumente und Einstellungen\Administrator\*.exe
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.



danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________

__________________
Alt 19.05.2013, 21:10   #3
khashayar24
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Anbei das Ergebnis t'John, danke für deine Unterstützung.


All processes killed
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\{90120000-0030-0000-0000-0000000FF1CE} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90120000-0030-0000-0000-0000000FF1CE}\ not found.
File C:\WINDOWS\System32\cmd._exe not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\{90120000-0030-0000-0000-0000000FF1CE} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90120000-0030-0000-0000-0000000FF1CE}\ not found.
File C:\WINDOWS\System32\cmd._exe not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lorlco.dat moved successfully.
C:\Dokumente und Einstellungen\Administrator\3905553.dll moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h0wijm.dat moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oclrol.js moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oclrol.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mjiw0h.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ras_0oed.pad moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\RtkBtMnt.exe moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SHSetup.exe moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SymLCSVC.EXE moved successfully.
File\Folder C:\Dokumente und Einstellungen\Administrator\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\ctfmon.lnk not found.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Administrator\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 131678288 bytes
->Temporary Internet Files folder emptied: 2190204 bytes
->FireFox cache emptied: 118336776 bytes
->Google Chrome cache emptied: 20235992 bytes
->Flash cache emptied: 2651 bytes

User: All Users

User: Alle
->Temp folder emptied: 1278174430 bytes
->Temporary Internet Files folder emptied: 221857695 bytes
->Java cache emptied: 32751 bytes
->FireFox cache emptied: 164325691 bytes
->Google Chrome cache emptied: 338305863 bytes
->Flash cache emptied: 184066 bytes

User: Default User
->Temp folder emptied: 131392573 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 95554951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 25163996 bytes
RecycleBin emptied: 936498 bytes

Total Files Cleaned = 2.411,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 05192013_210411

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
__________________
Alt 20.05.2013, 06:07   #4
t'john
/// Helfer-Team
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Schritt 2 und 3?
__________________
Mfg, t'john
Das TB unterstützen

Alt 22.05.2013, 17:15   #5
khashayar24
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Sorry,
ich war einige Tage offline.

Anbei Schritt 2:

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.20.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Alle :: KOOCHOOLOO [Administrator]

Schutz: Aktiviert

22.05.2013 10:29:38
MBAM-log-2013-05-22 (18-09-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 344541
Laufzeit: 1 Stunde(n), 54 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP276\A0125252.dll (Trojan.FakeMS.INC) -> Keine Aktion durchgeführt.

(Ende)

Schritt 3:

AdwCleaner v2.301 - Datei am 22/05/2013 um 18:18:13 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Alle - KOOCHOOLOO
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Alle\Eigene Dateien\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Mozilla\Firefox\Profiles\hfzk6x75.default\foxydeal.sqlite
Datei Gelöscht : C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Local Storage\hxxp_search.conduit.com_0.localstorage
Datei Gelöscht : C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Local Storage\hxxp_search.conduit.com_0.localstorage-journal
Datei Gelöscht : C:\END
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
Ordner Gelöscht : C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\ExpressFiles
Ordner Gelöscht : C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\OpenCandy
Ordner Gelöscht : C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Anwendungsdaten\Conduit
Ordner Gelöscht : C:\Programme\Conduit
Ordner Gelöscht : C:\WINDOWS\Installer\{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\ExpressFiles
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKCU\Software\SmartBar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT3287944
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\ExpressFiles
Schlüssel Gelöscht : HKLM\Software\Tarma Installer
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v20.0.1 (de)

Datei : C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Mozilla\Firefox\Profiles\hfzk6x75.default\prefs.js

C:\Dokumente und Einstellungen\Alle\Anwendungsdaten\Mozilla\Firefox\Profiles\hfzk6x75.default\user.js ... Gelöscht !

Gelöscht : user_pref("CT3287944_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Gelöscht : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3287944&octid=CT328794[...]
Gelöscht : user_pref("Smartbar.ConduitSearchEngineList", "express-files DE Customized Web Search");
Gelöscht : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3287944[...]
Gelöscht : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "");
Gelöscht : user_pref("Smartbar.keywordURLSelectedCTID", "CT3287944");
Gelöscht : user_pref("browser.search.defaultthis.engineName", "express-files DE Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3287944&CUI[...]
Gelöscht : user_pref("browser.search.selectedEngine", "express-files DE Customized Web Search");
Gelöscht : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3287944&SearchSource=2&CU[...]
Gelöscht : user_pref("smartbar.conduitHomepageList", "hxxp://search.conduit.com/?ctid=CT3287944&octid=CT3287944[...]
Gelöscht : user_pref("smartbar.conduitSearchAddressUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT[...]
Gelöscht : user_pref("smartbar.machineId", "+NXYMS0FAQH6YU3+RWOJWTZDQCRZXUOT6Y5GEOKGQYHIDD3E9UPADHNPXSAHWAD9VXQ[...]
Gelöscht : user_pref("smartbar.originalHomepage", "www.yahoo.de");
Gelöscht : user_pref("smartbar.originalSearchAddressUrl", "");
Gelöscht : user_pref("smartbar.originalSearchEngine", "");

Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ep7wrk75.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v26.0.1410.64

Datei : C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences

Gelöscht [l.27] : icon_url = "hxxp://search.conduit.com/fav.ico",
Gelöscht [l.30] : keyword = "search.conduit.com",
Gelöscht [l.34] : search_url = "hxxp://search.conduit.com/Results.aspx?q={searchTerms}&SearchSource=49&cui=UN86[...]
Gelöscht [l.35] : suggest_url = "hxxp://suggest.search.conduit.com/Suggest.ashx?q=[{searchTerms}]"
Gelöscht [l.2350] : homepage = "hxxp://search.conduit.com/?ctid=CT3287944&SearchSource=48&CUI=UN86013068120372178&UM[...]

Datei : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [6131 octets] - [22/05/2013 18:16:12]
AdwCleaner[S1].txt - [6153 octets] - [22/05/2013 18:18:13]

########## EOF - C:\AdwCleaner[S1].txt - [6213 octets] ##########


Alt 22.05.2013, 18:02   #6
t'john
/// Helfer-Team
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
--> GVU Virus eingefangen

Alt 25.05.2013, 10:26   #7
khashayar24
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-25 10:16:53
-----------------------------
10:16:53.875 OS Version: Windows 5.1.2600 Service Pack 3
10:16:53.890 Number of processors: 2 586 0xF0B
10:16:53.890 ComputerName: KOOCHOOLOO UserName: Alle
10:16:56.187 Initialize success
10:18:16.046 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Alle\Desktop\aswMBR.txt"


aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-25 10:16:53
-----------------------------
10:16:53.875 OS Version: Windows 5.1.2600 Service Pack 3
10:16:53.890 Number of processors: 2 586 0xF0B
10:16:53.890 ComputerName: KOOCHOOLOO UserName: Alle
10:16:56.187 Initialize success
10:18:16.046 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Alle\Desktop\aswMBR.txt"
10:22:47.578 AVAST engine defs: 13052400
10:29:18.453 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
10:29:18.468 Disk 0 Vendor: WDC_WD25 01.0 Size: 238475MB BusType: 3
10:29:18.765 Disk 0 MBR read successfully
10:29:18.781 Disk 0 MBR scan
10:29:19.031 Disk 0 unknown MBR code
10:29:19.078 Disk 0 Partition 1 00 12 Compaq diag MSWIN4.1 7993 MB offset 2048
10:29:19.265 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 114988 MB offset 16372220
10:29:19.484 Disk 0 Partition 3 00 0C FAT32 LBA MSWIN4.1 115475 MB offset 251883135
10:29:19.890 Disk 0 scanning sectors +488376000
10:29:20.218 Disk 0 scanning C:\WINDOWS\system32\drivers
10:30:30.406 Service scanning
10:31:45.875 Modules scanning
10:32:00.703 Disk 0 trace - called modules:
10:32:00.796 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys
10:32:00.828 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89d4dab8]
10:32:00.875 3 CLASSPNP.SYS[ba1a8fd7] -> nt!IofCallDriver -> \Device\000000cf[0x8a731f18]
10:32:00.921 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a732030]
10:32:02.312 AVAST engine scan C:\WINDOWS
10:32:51.750 AVAST engine scan C:\WINDOWS\system32
10:43:42.906 AVAST engine scan C:\WINDOWS\system32\drivers
10:44:48.484 AVAST engine scan C:\Dokumente und Einstellungen\Alle
11:18:11.796 AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:18:56.531 Scan finished successfully
11:23:03.578 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Alle\Desktop\MBR.dat"
11:23:03.875 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Alle\Desktop\aswMBR.txt"

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=21bd691d79df994b90ab46f47a44a83f
# engine=13907
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-25 02:41:09
# local_time=2013-05-25 04:41:09 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=2055 16777213 100 98 17089 128530767 0 0
# scanned=114812
# found=12
# cleaned=0
# scan_time=16809
sh=81795C99D60F23E7E92809B24964021D2CEAAB34 ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan" ac=I fn="C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\msconfig.lnk"
sh=C94FB9BA31B16CA3822FED625738CE9626EC4FE1 ft=0 fh=0000000000000000 vn="a variant of Android/Adware.AirPush.G application" ac=I fn="C:\Dokumente und Einstellungen\Alle\Desktop\Bar-Files\dhdev.ee_.action_3.bar"
sh=14CE15DAEDC55AF27226BAAACF42FF74917797BE ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2013-2423.AP trojan" ac=I fn="C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\4a4f0d29-4c76ccaa"
sh=21A3F8B9EF43C10255BF3C69BA4674B72EB7D609 ft=0 fh=0000000000000000 vn="Java/Agent.FI trojan" ac=I fn="C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\7e390107-6b0041a9"
sh=D1A37CD17B7F7E207EFC5E4AA45397A152501B69 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2012-5076.Q trojan" ac=I fn="C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9\5750c289-6eee214f"
sh=1F981AE20DF15D0F0057EF4134FE8327C1399BCA ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan" ac=I fn="C:\Dokumente und Einstellungen\Alle\Startmenü\Programme\Autostart\msconfig.lnk"
sh=C889CF6B8BF82DD7B0FA3AD97344BA7FAF5CEF75 ft=0 fh=0000000000000000 vn="a variant of Android/Adware.AirPush.G application" ac=I fn="C:\RECYCLER\S-1-5-21-3835478933-666338398-3331318952-1005\Dc352.zip"
sh=37AF1CB9DFF2F6AA678DEF5C57EE71A02CDE491D ft=0 fh=0000000000000000 vn="a variant of Android/Adware.AirPush.G application" ac=I fn="C:\RECYCLER\S-1-5-21-3835478933-666338398-3331318952-1005\Dc369.bar"
sh=D9F91FA435BDBB0764D4CEC8ED99BFF722D87F93 ft=1 fh=602781cac6882f06 vn="a variant of Win32/Adware.Yontoo.A application" ac=I fn="C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP248\A0106216.dll"
sh=75DFDC05C5D5F0C3B930B5B6871B6528EC9C22EA ft=1 fh=cff868ace0c06f1a vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP248\A0106223.dll"
sh=410B32FD3FE4642644AD91AC60C69B86EC2762DD ft=1 fh=0e378a435beab91a vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP277\A0125384.dll"
sh=14CE15DAEDC55AF27226BAAACF42FF74917797BE ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2013-2423.AP trojan" ac=I fn="C:\_OTL\MovedFiles\05192013_210411\C_Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\30286a59-209cf920"

Results of screen317's Security Check version 0.99.63
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Bitdefender Virenschutz
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java(TM) 6 Update 35
Java 7 Update 17
Java version out of Date!
Adobe Flash Player 11.7.700.202
Adobe Reader 10.1.7 Adobe Reader out of Date!
Mozilla Firefox (21.0)
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
Bitdefender Bitdefender 2012 vsserv.exe
Bitdefender Bitdefender 2012 bdagent.exe
Bitdefender Bitdefender 2012 updatesrv.exe
StarMoney 8.0 S-Edition ouservice StarMoneyOnlineUpdate.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

Alt 25.05.2013, 13:47   #8
t'john
/// Helfer-Team
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
:Files
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\msconfig.lnk
C:\Dokumente und Einstellungen\Alle\Desktop\Bar-Files\dhdev.ee_.action_3.bar
C:\Dokumente und Einstellungen\Alle\Startmenü\Programme\Autostart\msconfig.lnk
C:\RECYCLER\S-1-5-21-3835478933-666338398-3331318952-1005\Dc352.zip
C:\RECYCLER\S-1-5-21-3835478933-666338398-3331318952-1005\Dc369.bar
C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP248\A0106216.dll
C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP248\A0106223.dll
C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP277\A0125384.dll
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread



dann:

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



dann:

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die .exe-Datei
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 25.05.2013, 14:04   #9
khashayar24
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


========== OTL ==========
========== FILES ==========
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\msconfig.lnk moved successfully.
C:\Dokumente und Einstellungen\Alle\Desktop\Bar-Files\dhdev.ee_.action_3.bar moved successfully.
C:\Dokumente und Einstellungen\Alle\Startmenü\Programme\Autostart\msconfig.lnk moved successfully.
C:\RECYCLER\S-1-5-21-3835478933-666338398-3331318952-1005\Dc352.zip moved successfully.
C:\RECYCLER\S-1-5-21-3835478933-666338398-3331318952-1005\Dc369.bar moved successfully.
C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP248\A0106216.dll moved successfully.
C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP248\A0106223.dll moved successfully.
C:\System Volume Information\_restore{46908DFF-86EC-475A-906B-B3E71EB3DBD3}\RP277\A0125384.dll moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 05252013_150319

Malwarebytes Anti-Rootkit BETA 1.06.0.1003
Malwarebytes : Free Anti-Malware download

Database version: v2013.05.25.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Alle :: KOOCHOOLOO [administrator]

25.05.2013 15:29:18
mbar-log-2013-05-25 (15-29-18).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: Deep Anti-Rootkit Scan | PUP
Objects scanned: 238456
Time elapsed: 32 minute(s), 29 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 21.0 ist aktuell

Flash (11,7,700,202) ist aktuell.

Java (1,7,0,21) ist aktuell.

Adobe Reader 11,0,3,37 ist aktuell.

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 21.0 ist aktuell

Flash (11,7,700,202) ist aktuell.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,3,37 ist aktuell.

Alt 25.05.2013, 18:13   #10
t'john
/// Helfer-Team
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.




Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 28.08.2013, 03:49   #11
t'john
/// Helfer-Team
 
GVU Virus eingefangen - Standard

GVU Virus eingefangen


Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu GVU Virus eingefangen
android/adware.airpush.g, bereits, desktop, eingefangen, gefangen, gvu virus, gvu virus eingefangen, java/agent.fi, java/exploit.cve-2012-5076.q, java/exploit.cve-2013-2423.ap, klasse, modus, neueste, otl.exe, posten, trojan.fakems.inc, virus eingefangen, win32/adware.yontoo.a, win32/adware.yontoo.b, win32/reveton.m


« PayPal-Virus | PC infiziert / Bildschirm bleibt weiß »

Ähnliche Themen: GVU Virus eingefangen


  1. virus eingefangen
    Log-Analyse und Auswertung - 18.10.2014 (15)
  2. virus eingefangen
    Log-Analyse und Auswertung - 12.10.2014 (1)
  3. Virus eingefangen
    Log-Analyse und Auswertung - 26.02.2014 (3)
  4. Virus eingefangen ?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (1)
  5. GVU Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 20.02.2013 (5)
  6. Virus eingefangen..
    Plagegeister aller Art und deren Bekämpfung - 07.02.2013 (1)
  7. BKA-Virus 1.13 eingefangen!
    Log-Analyse und Auswertung - 03.09.2012 (3)
  8. S.M.A.R.T. HDD Virus eingefangen
    Log-Analyse und Auswertung - 12.04.2012 (3)
  9. 50 € Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (29)
  10. BKA-Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (33)
  11. Virus eingefangen? HJT Log
    Log-Analyse und Auswertung - 26.02.2010 (3)
  12. Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.09.2008 (9)
  13. Virus eingefangen - Virus.Win32.AutoRun.ah
    Plagegeister aller Art und deren Bekämpfung - 01.08.2007 (14)
  14. Virus eingefangen?
    Log-Analyse und Auswertung - 07.11.2006 (1)
  15. Virus eingefangen
    Log-Analyse und Auswertung - 20.05.2006 (10)
  16. Virus eingefangen
    Log-Analyse und Auswertung - 25.12.2005 (6)
  17. virus eingefangen!???
    Plagegeister aller Art und deren Bekämpfung - 26.05.2004 (15)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema GVU Virus eingefangen - Hallo, wie viele andere auch habe ich mir trotz der neuesten Version des kostenpflichtigen Bit Defenders den GVU Virus mit Web Cam Modus eingefangen. Ich habe mir bereits OTL.EXE auf - GVU Virus eingefangen...
Archiv
Du betrachtest: GVU Virus eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129