Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.07.2012, 17:32   #1
gromph
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Hallo und schon mal vielen vielen Dank für Euer Dasein!!! Weiß sonst keinen Rat mehr.

Ich hoffe Ihr könnt mir helfen:

Habe einen Rechner der mit Win Vista 32Bit läuft. Im Moment kann ich auf den Rechner zugreifen solange ich offline bleibe. Lan-Kabel rein --> GVU-Bild mit Web-Cam oben rechts, und Feierabend. Der GVU-WebCam-Trojaner ist ja bekannt und habe auch einiges dazu gefunden, jedoch half bisher weder die Kaspersky-Rescue-CD mit dem Windows-Unlock tool, noch das "schnüffeln" in der Registry. Dort wird ordnungsgemäß die explorer.exe gestartet und auch in .../currentVersion/run finde ich nichts auffälliges. Dann habe ich bei Euch gelesen und gelesen. Dort steht ich solle Euch die Log's verschiedener Tools schicken. Ich hoffe alles richtig gemacht zu haben.

1) Regeln gelesen und verstanden
1a) MalwareBytes installiert --> einwandfrei
2) Defogger lief einwandfrei durch
3) OTL lief einwandfrei und liefert die die 2 Log's wie beschrieben
4) Gmer gestartet, mit Problemen:

Das letzte was GMER tut ist /device/shadowBackup... zu scannen, dann hängt's und wird beendet. Erneutes Ausführen ohne Reboot führt zu Bluescreen mit page_fault_in_non_paged_area!
Der Scan von GMER ohne Häckchen bei devices lief durch und wurde mit in's .zip gepackt. Ich hoffe das hilft ein bischen weiter.
Da der Rechner bei mir auf arbeit steht kann ich erst am Montag wieder ran und hoffe das Ihr mir weiterhelfen könnt. Dafür schonmal ein riesengroßes
Ich wünsche Euch allen ein schönes Wochenende, ohne diesen blöden Trojaner...

Gromph

Alt 14.07.2012, 11:42   #2
t'john
/// Helfer-Team
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit





Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL
MOD - C:\Users\civis\AppData\Local\Temp\glom0_og.exe () 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7DADE 
IE - HKCU\..\URLSearchHook: - No CLSID value found 
IE - HKCU\..\SearchScopes,DefaultScope = {8DB6DEC1-056D-4A86-9AB0-1ABF6987E123} 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKCU\..\SearchScopes\{320246C6-308A-4D3C-AAB7-45AE70F46F49}: "URL" = http://www.computerbild.de/suche/index.html?s_text={searchTerms} 
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rlz=1I7GGLL_de&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=g5pGdlnoMPlZXsSP6nnRughBcYA?q={searchTerms} 
IE - HKCU\..\SearchScopes\{8DB6DEC1-056D-4A86-9AB0-1ABF6987E123}: "URL" = http://www.google.de/search?q={searchTerms}&rlz=1I7GGLL_de 
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={3890BD56-E76F-4B77-92DA-D4BDAFC382C0}&mid=9435acbc347cf18bc22f104a37ae9626-b9f888d49c33e396d062e51aff6c49297f3ad61e&lang=de&ds=AVG&pr=pr&d=2011-12-12 14:31:38&v=10.0.0.7&sap=dsp&q={searchTerms} 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. 
O3 - HKCU\..\Toolbar\WebBrowser: (RA-Recherche Toolbar) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Programme\RA-MICRO\RAToolbar\RAMICRO_TOOLBAR.DLL () 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [ROC_roc_dec12] C:\Program Files\AVG Secure Search\ROC_roc_dec12.exe () 
O4 - HKCU..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" File not found 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{2ed24e6f-19ec-11dd-b5c4-00197edb4abe}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\recycled\info.exe 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Zerb Verlag:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\WIN32_VISTA:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Wieder gefundene Migrationsdaten:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\WEG-Recht:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Verkehrsrecht:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Umzug privat:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Susanne:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Scans:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Scanned Documents:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Rechtsprechung:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Rechnungen:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\PRIVAT:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Mitarbeiter:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Marketing:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\LRT GbR:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Klassentreffen 2008:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\idealer-standard.jpg:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Heruntergeladene Programm-Updates:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\GesR:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\FJ:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Fax:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\FA-Kurs:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\ESt:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Eigene PaperPort-Dokumente:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Downloads:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Daniela:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\BRAK Online Fortbildung:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\bnt:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Beck:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Bearbeitungen Reppenhagen:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Bearbeitungen Held:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Bearbeitungen Cohrs:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Artikel Eherecht Litauen:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Abwicklung RA Jäger:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Abrechnung Reppenhagen:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Abrechnung Held:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\Abrechnung Cohrs:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\3058:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\2007-10-31:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\100_0009.jpg:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Documents\1§1:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Desktop\verify.do-Dateien:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Desktop\Impressumspflicht für Facebook-Fanseiten gerichtlich bestätigt « In Sachen Kommunikation-Dateien:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Desktop\dl-infov-neue-informationspflichten-Dateien:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Desktop\BA - Eddy:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Desktop\44959_1483466560920_1061539647_31100499_8072734_n.jpg:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Desktop\100_0009neu.jpg:Roxio EMC Stream 
@Alternate Data Stream - 76 bytes -> C:\Users\civis\Desktop\100_0009.jpg:Roxio EMC Stream 
@Alternate Data Stream - 206 bytes -> C:\ProgramData\TEMP:F35A93AD 

[2012.07.13 15:41:54 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job 
[2012.07.13 15:42:26 | 000,000,000 | ---D | C] -- C:\Users\civis\Desktop\BA - Eddy 
[2012.07.13 15:42:58 | 000,000,000 | ---D | M] -- C:\Users\civis\AppData\Roaming\Dropbox 
[2012.07.13 15:08:25 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad 
[2012.07.13 15:09:20 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat 
[2012.07.13 15:09:20 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT 
[2012.07.12 19:22:15 | 000,001,722 | ---- | M] () -- C:\Users\civis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 
[2012.07.12 19:22:15 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad 
[2012.07.12 19:22:15 | 000,001,722 | ---- | C] () -- C:\Users\civis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 
[2012.07.12 19:13:04 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job 
[2012.07.09 15:00:00 | 000,000,498 | ---- | M] () -- C:\Windows\tasks\NatSpeak Periodic Acoustic Optimization.job 
[2012.07.09 15:00:00 | 000,000,498 | ---- | M] () -- C:\Windows\Tasks\NatSpeak Periodic Acoustic Optimization.job 

 
:Files
C:\Users\civis\AppData\Local\Temp\glom0_og.exe
C:\ProgramData\go_0molg.pad
C:\Users\civis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

:Commands
ipconfig /flushdns /c
[emptytemp]
[emptyflash]
[resethosts]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


Bitte auch die gemachten Malwarebytes-Logs nachreichen!
__________________

__________________

Alt 17.07.2012, 12:51   #3
gromph
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Hey t'john,

Vielen Dank für die schnelle Hilfe, im Anhang das Log-File von Malware-Bytes.
Ich habe leider ein Problem mit dem OTL-Script:
Habe mich exakt wie beschrieben an das Vorgehen gehalten. OTL schließt darauf alle laufenden Prozesse und beginnt seine Arbeit. Leider aber nicht bis zum Ende. Irgendwann stürzt es ab und gibt mir natürlich auch kein Log-File.
Interessant ist, dass ich aber seit dem OTL-Script wieder Zugriff auf den Task-Manager habe. Sollte das Script evtl. trotzdem seine Arbeit verrichtet haben? Und bin ich damit den GVU-Trojaner los? Oder muss ich den noch selbst entfernen?
Vielen Dank für die Geduld und Deine/Eure Hilfe.
Schönen Tag wünsche ich

Gromph

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.03.05

Windows Vista Service Pack 2 x86 FAT
Internet Explorer 9.0.8112.16421
civis :: STEFFEN [Administrator]

Schutz: Aktiviert

17.07.2012 10:59:12
mbam-log-2012-07-17 (12-40-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 461936
Laufzeit: 1 Stunde(n), 22 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 35
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.BHO.1 (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CLSID\{22222222-2222-2222-2222-220022222258} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.Sandbox.1 (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.Sandbox (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CLSID\{33333333-3333-3333-3333-330033223358} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.FBApi.1 (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.FBApi (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{65bcd620-07dd-012f-819f-073cf1b8f7c6} (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.BHO (Adware.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uncompressor (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.BHO (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.BHO.1 (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.FBApi (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.FBApi.1 (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.Sandbox (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCR\CrossriderApp0002258.Sandbox.1 (PUP.CrossFire.Gen) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Daten:  -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Daten:  -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Program Files\Uncompressor\Uninstall\Uninstall.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
C:\Users\civis\Downloads\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.

(Ende)
         
__________________

Alt 17.07.2012, 16:42   #4
t'john
/// Helfer-Team
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Bitte das Logfile von OTL hier suchen: C:\_OTL\MovedFiles\

Warum entfernst du nicht die Funde???
__________________
Mfg, t'john
Das TB unterstützen

Alt 20.07.2012, 13:45   #5
gromph
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Moin t'jhon,

ich habe die vier Einträge die mir als Trojan.Vundo gezeigt wurden entfernt. Oder soll ich alle Einträge entfernen? Mir sagen die ganzen Funde leider nicht viel (adware.gameplaylab, PUP.crossfire.gen, usw)
Im Anhang die LOG's von OTL.
Vielen Dank

Gromph

Code:
ATTFilter
Files\Folders moved on Reboot...
File move failed. C:\Windows\Tasks\SCHEDLGU.TXT scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2012.07.17 10:33:08 | 000,032,632 | ---- | M] () C:\Windows\Tasks\SCHEDLGU.TXT : Unable to obtain MD5

Registry entries deleted on Reboot...
         
Code:
ATTFilter
Files\Folders moved on Reboot...
File move failed. C:\Windows\Tasks\SCHEDLGU.TXT scheduled to be moved on reboot.
File\Folder C:\Windows\temp\hsperfdata_STEFFEN$\2436 not found!

PendingFileRenameOperations files...
[2012.07.17 10:52:51 | 000,000,764 | ---- | M] () C:\Windows\Tasks\SCHEDLGU.TXT : Unable to obtain MD5
File C:\Windows\temp\hsperfdata_STEFFEN$\2436 not found!

Registry entries deleted on Reboot...
         


Alt 20.07.2012, 21:38   #6
t'john
/// Helfer-Team
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Lasse alle Funde loeschen!

dann:

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
--> GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit

Alt 25.07.2012, 13:36   #7
gromph
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Moin t'john,

also entweder bin ich zu blöd oder mein Malwarebytes (nicht gekauft ) kann die Einträge nicht entfernen. Auf jedenfall finde ich den Knopf nicht zum entfernen. Hier das Log von Adware im Anhang.

Danke Dir für Deine Hilfe, Rechner läuft übrigens sit OTL stabil, juchuhhh!!!

Gruß Gromph

Adware:
Code:
ATTFilter
# AdwCleaner v1.703 - Logfile created 07/25/2012 at 13:32:36
# Updated 20/07/2012 by Xplode
# Operating system : Windows Vista (TM) Business Service Pack 2 (32 bits)
# User : civis - STEFFEN
# Running from : C:\Users\civis\Downloads\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\civis\AppData\Local\Babylon
Folder Found : C:\Users\civis\AppData\LocalLow\BabylonToolbar
Folder Found : C:\Users\civis\AppData\Roaming\Babylon
Folder Found : C:\Users\civis\AppData\Roaming\Mozilla\Firefox\Profiles\rvpwrb8r.default\Conduit
Folder Found : C:\Users\civis\AppData\Roaming\Mozilla\Firefox\Profiles\rvpwrb8r.default\ConduitCommon
Folder Found : C:\Users\civis\AppData\Roaming\Mozilla\Firefox\Profiles\rvpwrb8r.default\extensions\ffxtlbr@babylon.com
Folder Found : C:\ProgramData\Babylon
Folder Found : C:\Program Files\AVG Secure Search
File Found : C:\Program Files\Mozilla Firefox\searchplugins\avg-secure-search.xml

***** [Registry] *****
[*] Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.BHO[*] Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.BHO.1[*] Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.FBApi[*] Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.FBApi.1[*] Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.Sandbox[*] Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.Sandbox.1[*] Key Found : HKLM\SOFTWARE\Classes\TBSB00001.TBSB00001[*] Key Found : HKLM\SOFTWARE\Classes\TBSB00001.TBSB00001.3
Key Found : HKCU\Software\Cr_Installer
Key Found : HKLM\SOFTWARE\Babylon
Key Found : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.BHO
Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.BHO.1
Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.FBApi
Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.FBApi.1
Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.Sandbox
Key Found : HKLM\SOFTWARE\Classes\CrossriderApp0002258.Sandbox.1
Key Found : HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook
Key Found : HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook.1
Key Found : HKLM\SOFTWARE\Description
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{83AA2913-C123-4146-85BD-AD8F93971D39}
Value Found : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Key Found : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110011221158}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220022222258}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{33333333-3333-3333-3333-330033223358}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Key Found : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Key Found : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
Key Found : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550055225558}
Key Found : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660066226658}
Key Found : HKLM\SOFTWARE\Classes\Interface\{77777777-7777-7777-7777-770077227758}
Key Found : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440044224458}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{65BCD620-07DD-012F-819F-073CF1B8F7C6}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B7D3E479-CC68-42B5-A338-938ECE35F419}]

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://isearch.avg.com/tab?cid={3890BD56-E76F-4B77-92DA-D4BDAFC382C0}&mid=9435acbc347cf18bc22f104a37ae9626-b9f888d49c33e396d062e51aff6c49297f3ad61e&lang=de&ds=AVG&pr=pr&d=2011-12-12 14:31:38&v=9.0.0.22&sap=nt

-\\ Mozilla Firefox v13.0.1 (de)

Profile name : default 
File : C:\Users\civis\AppData\Roaming\Mozilla\Firefox\Profiles\rvpwrb8r.default\prefs.js

Found : user_pref("CT2611456..clientLogIsEnabled", false);
Found : user_pref("CT2611456..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Found : user_pref("CT2611456..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Found : user_pref("CT2611456.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Found : user_pref("CT2611456.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Found : user_pref("CT2611456.AppTrackingLastCheckTime", "Thu May 24 2012 09:14:50 GMT+0200");
Found : user_pref("CT2611456.CTID", "CT2611456");
Found : user_pref("CT2611456.CommunitiesChangesLastCheckTime", "0");
Found : user_pref("CT2611456.CurrentServerDate", "25-7-2012");
Found : user_pref("CT2611456.DialogsAlignMode", "LTR");
Found : user_pref("CT2611456.DialogsGetterLastCheckTime", "Mon Jul 23 2012 13:48:44 GMT+0200");
Found : user_pref("CT2611456.DownloadReferralCookieData", "");
Found : user_pref("CT2611456.FirstServerDate", "23-9-2010");
Found : user_pref("CT2611456.FirstTime", true);
Found : user_pref("CT2611456.FirstTimeFF3", true);
Found : user_pref("CT2611456.FixPageNotFoundErrors", true);
Found : user_pref("CT2611456.GroupingInvalidateCache", false);
Found : user_pref("CT2611456.GroupingLastCheckTime", "0");
Found : user_pref("CT2611456.GroupingLastServerUpdateTime", "0");
Found : user_pref("CT2611456.GroupingServerCheckInterval", 1440);
Found : user_pref("CT2611456.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Found : user_pref("CT2611456.HasUserGlobalKeys", true);
Found : user_pref("CT2611456.HomePageProtectorEnabled", false);
Found : user_pref("CT2611456.Initialize", true);
Found : user_pref("CT2611456.InitializeCommonPrefs", true);
Found : user_pref("CT2611456.InstallationAndCookieDataSentCount", 3);
Found : user_pref("CT2611456.InstalledDate", "Thu Sep 23 2010 17:17:26 GMT+0200");
Found : user_pref("CT2611456.InvalidateCache", false);
Found : user_pref("CT2611456.IsAlertDBUpdated", true);
Found : user_pref("CT2611456.IsGrouping", false);
Found : user_pref("CT2611456.IsMulticommunity", false);
Found : user_pref("CT2611456.IsOpenThankYouPage", true);
Found : user_pref("CT2611456.IsOpenUninstallPage", true);
Found : user_pref("CT2611456.LanguagePackLastCheckTime", "Tue Jul 24 2012 14:37:58 GMT+0200");
Found : user_pref("CT2611456.LanguagePackReloadIntervalMM", 1440);
Found : user_pref("CT2611456.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Found : user_pref("CT2611456.LastLogin_3.1.0.12", "Mon Feb 07 2011 09:20:24 GMT+0100");
Found : user_pref("CT2611456.LastLogin_3.10.0.1", "Wed Apr 18 2012 13:32:32 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.12.0.7", "Wed Apr 25 2012 10:11:22 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.12.2.3", "Wed May 30 2012 16:37:56 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.13.0.6", "Fri Jul 20 2012 13:48:43 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.14.1.0", "Wed Jul 25 2012 09:50:43 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.2.5.2", "Mon Mar 21 2011 09:01:20 GMT+0100");
Found : user_pref("CT2611456.LastLogin_3.3.2.1", "Mon Mar 28 2011 09:40:54 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.3.3.2", "Wed Jun 29 2011 13:31:15 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.5.0.12", "Mon Aug 01 2011 08:45:51 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.6.0.10", "Thu Sep 29 2011 09:29:10 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.7.0.6", "Thu Oct 13 2011 10:04:00 GMT+0200");
Found : user_pref("CT2611456.LastLogin_3.8.0.8", "Thu Dec 08 2011 10:20:32 GMT+0100");
Found : user_pref("CT2611456.LastLogin_3.8.1.0", "Sun Jan 08 2012 15:14:19 GMT+0100");
Found : user_pref("CT2611456.LastLogin_3.9.0.3", "Tue Mar 06 2012 14:17:03 GMT+0100");
Found : user_pref("CT2611456.LatestVersion", "3.14.1.0");
Found : user_pref("CT2611456.Locale", "de");
Found : user_pref("CT2611456.MCDetectTooltipHeight", "83");
Found : user_pref("CT2611456.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Found : user_pref("CT2611456.MCDetectTooltipWidth", "295");
Found : user_pref("CT2611456.MyStuffEnabledAtInstallation", true);
Found : user_pref("CT2611456.RadioLastCheckTime", "0");
Found : user_pref("CT2611456.RadioLastUpdateIPServer", "0");
Found : user_pref("CT2611456.RadioLastUpdateServer", "0");
Found : user_pref("CT2611456.SHRINK_TOOLBAR", 1);
Found : user_pref("CT2611456.SavedHomepage", "hxxp://www.spiegel.de/");
Found : user_pref("CT2611456.SearchBoxWidth", 150);
Found : user_pref("CT2611456.SearchEngineBeforeUnload", "ICQ Search");
Found : user_pref("CT2611456.SearchFromAddressBarIsInit", true);
Found : user_pref("CT2611456.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261[...]
Found : user_pref("CT2611456.SearchInNewTabEnabled", true);
Found : user_pref("CT2611456.SearchInNewTabIntervalMM", 1440);
Found : user_pref("CT2611456.SearchInNewTabLastCheckTime", "Tue Jul 24 2012 14:37:57 GMT+0200");
Found : user_pref("CT2611456.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Found : user_pref("CT2611456.SearchInNewTabUsageUrl", "hxxp://usage.hosting.toolbar.conduit-services.com/usa[...]
Found : user_pref("CT2611456.SearchProtectorEnabled", false);
Found : user_pref("CT2611456.SearchProtectorToolbarDisabled", false);
Found : user_pref("CT2611456.ServiceMapLastCheckTime", "Tue Jul 24 2012 14:37:57 GMT+0200");
Found : user_pref("CT2611456.SettingsLastCheckTime", "Wed Jul 25 2012 12:06:35 GMT+0200");
Found : user_pref("CT2611456.SettingsLastUpdate", "1337169810");
Found : user_pref("CT2611456.ThirdPartyComponentsInterval", 504);
Found : user_pref("CT2611456.ThirdPartyComponentsLastCheck", "Wed Jul 04 2012 14:49:08 GMT+0200");
Found : user_pref("CT2611456.ThirdPartyComponentsLastUpdate", "1331806000");
Found : user_pref("CT2611456.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2611456");
Found : user_pref("CT2611456.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Found : user_pref("CT2611456.UserID", "UN73429631273141743");
Found : user_pref("CT2611456.ValidationData_Search", 2);
Found : user_pref("CT2611456.ValidationData_Toolbar", 2);
Found : user_pref("CT2611456.alertChannelId", "1004261");
Found : user_pref("CT2611456.backendstorage.xing_app_general_app_lang", "6465");
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_contacts_timestamp", "31");
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_contacts_data", "253742253232636F[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_contacts_timestamp", "31333433313[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_messages_data", "2537422532327072[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_messages_timestamp", "31333433313[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_news_data", "25374225323261637469[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_news_timestamp", "313334333134383[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_visitors_data", "2537422532327573[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_content_visitors_timestamp", "31333430383[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_contacts_count", "31");
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_messages_count", "3232");
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_news_count", "37");
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_news_store_date", "323031322D303[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_timestamp", "3133343332313036313[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_total_count", "3230");
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_visitors_count", "2D3130");
Found : user_pref("CT2611456.backendstorage.xing_app_general_cache_notifier_visitors_store_total", "3138");
Found : user_pref("CT2611456.backendstorage.xing_app_general_gadget_height_normal", "353639");
Found : user_pref("CT2611456.backendstorage.xing_app_general_gadget_height_short", "343135");
Found : user_pref("CT2611456.backendstorage.xing_app_general_gadget_width", "333533");
Found : user_pref("CT2611456.backendstorage.xing_app_general_token_query_string", "26757365725F69643D3836383[...]
Found : user_pref("CT2611456.backendstorage.xing_app_general_toolbar_shrink_mode", "6D617869");
Found : user_pref("CT2611456.backendstorage.xing_app_general_update_toolbar", "31333433313438383238393134");
Found : user_pref("CT2611456.backendstorage.xing_app_general_user_id", "383638313338325F626232626463");
Found : user_pref("CT2611456.clientLogIsEnabled", true);
Found : user_pref("CT2611456.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Found : user_pref("CT2611456.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Found : user_pref("CT2611456.globalFirstTimeInfoLastCheckTime", "Sun Jul 22 2012 12:53:51 GMT+0200");
Found : user_pref("CT2611456.homepageProtectorEnableByLogin", true);
Found : user_pref("CT2611456.initDone", true);
Found : user_pref("CT2611456.isAppTrackingManagerOn", true);
Found : user_pref("CT2611456.myStuffEnabled", true);
Found : user_pref("CT2611456.myStuffPublihserMinWidth", 400);
Found : user_pref("CT2611456.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Found : user_pref("CT2611456.myStuffServiceIntervalMM", 1440);
Found : user_pref("CT2611456.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Found : user_pref("CT2611456.oldAppsList", "129169371691810351,129169371692122855,111,129229806541995922,129[...]
Found : user_pref("CT2611456.revertSettingsEnabled", true);
Found : user_pref("CT2611456.searchProtectorDialogDelayInSec", 10);
Found : user_pref("CT2611456.searchProtectorEnableByLogin", true);
Found : user_pref("CT2611456.testingCtid", "");
Found : user_pref("CT2611456.toolbarAppMetaDataLastCheckTime", "Tue Jul 24 2012 14:37:58 GMT+0200");
Found : user_pref("CT2611456.toolbarContextMenuLastCheckTime", "Tue Jul 17 2012 10:00:44 GMT+0200");
Found : user_pref("CT2611456.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Found : user_pref("CT2611456.usagesFlag", 2);
Found : user_pref("CommunityToolbar.CantToolbarBeEngineOwner", "CT2611456");
Found : user_pref("CommunityToolbar.ETag.hxxp://Settings.toolbar.search.conduit.com/root/CT2611456/CT2611456[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/?aid=1004261&fid=999976", "\"0\"[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1004261/999976/DE", "\"0\""[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2611456", [...]
Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.10[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.12[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.13[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.14[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.5.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.6.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.7.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.9.[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2611456",[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/toolbar/", "\"63433363123173[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2611456&octid=[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2611456/CT2611456[...]
Found : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=de", "\"e3d[...]
Found : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\civis\\AppData\\Roaming\\Mozilla\\F[...]
Found : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.14.1.0");
Found : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://search.icq.com/search/afe_results[...]
Found : user_pref("CommunityToolbar.ToolbarsList", "CT2611456");
Found : user_pref("CommunityToolbar.ToolbarsList2", "CT2611456");
Found : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Wed Jun 01 2011 13:10:59 GMT+02[...]
Found : user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
Found : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Wed Jun 29 2011 16:01:52 GMT+0200");
Found : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Found : user_pref("CommunityToolbar.alert.locale", "");
Found : user_pref("CommunityToolbar.alert.loginIntervalMin", 0);
Found : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Wed Jun 29 2011 16:01:43 GMT+0200");
Found : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "");
Found : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Found : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Found : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Found : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Found : user_pref("CommunityToolbar.alert.userId", "f323aded-c775-49de-aff0-b2a956166dd0");
Found : user_pref("CommunityToolbar.globalUserId", "df2692f5-9eb6-442b-a7e0-5e70eb0574aa");
Found : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Found : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Found : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Tue Jul 24 2012 14:38:0[...]
Found : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Found : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Tue Jul 24 2012 14:38:07 GMT+020[...]
Found : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Found : user_pref("CommunityToolbar.notifications.locale", "en");
Found : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Found : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Tue Jul 24 2012 14:37:59 GMT+0200");
Found : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Found : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Found : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Found : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Found : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Found : user_pref("CommunityToolbar.notifications.userId", "0e2b3948-30ac-41c7-97dd-2b54dcecb98a");
Found : user_pref("extensions.BabylonToolbar.admin", false);
Found : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Found : user_pref("extensions.BabylonToolbar.babExt", "");
Found : user_pref("extensions.BabylonToolbar.babTrack", "affID=110819&tt=100512_4_");
Found : user_pref("extensions.BabylonToolbar.bbDpng", 25);
Found : user_pref("extensions.BabylonToolbar.dfltSrch", false);
Found : user_pref("extensions.BabylonToolbar.hmpg", false);
Found : user_pref("extensions.BabylonToolbar.id", "8a6e697d00000000000000197edb4abe");
Found : user_pref("extensions.BabylonToolbar.instlDay", "15471");
Found : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Found : user_pref("extensions.BabylonToolbar.lastDP", 25);
Found : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1714:21:39");
Found : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "13.0");
Found : user_pref("extensions.BabylonToolbar.newTab", true);
Found : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_FFUP");
Found : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Found : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Found : user_pref("extensions.BabylonToolbar.propectorlck", 81774140);
Found : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Found : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Found : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Found : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Found : user_pref("extensions.BabylonToolbar.tlbrId", "tb9");
Found : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Found : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1714:21:39");
Found : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Found : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Found : user_pref("extensions.BabylonToolbar_i.babExt", "");
Found : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110819&tt=100512_4_");
Found : user_pref("extensions.BabylonToolbar_i.hardId", "8a6e697d00000000000000197edb4abe");
Found : user_pref("extensions.BabylonToolbar_i.id", "8a6e697d00000000000000197edb4abe");
Found : user_pref("extensions.BabylonToolbar_i.instlDay", "15471");
Found : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Found : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Found : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Found : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Found : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Found : user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
Found : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Found : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1714:21:39");
Found : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Found : user_pref("extensions.enabledAddons", "trackmenot@mrl.nyu.edu:0.6.728,ffxtlbr@babylon.com:1.1.9,{c98[...]

-\\ Google Chrome v20.0.1132.57

File : C:\Users\civis\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [26122 octets] - [25/07/2012 13:32:36]

########## EOF - C:\AdwCleaner[R1].txt - [26251 octets] ##########
         

Alt 25.07.2012, 14:38   #8
t'john
/// Helfer-Team
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Funde entfernen -> Siehe Anleitung: http://www.trojaner-board.de/51187-a...i-malware.html



Du musst den FIX in OTL einfuegen, beachte die Anleitung: http://www.trojaner-board.de/119399-...tml#post864477
__________________
Mfg, t'john
Das TB unterstützen

Alt 08.08.2012, 04:21   #9
t'john
/// Helfer-Team
 
GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Standard

GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit



Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit
bluescreen, blöde, cftmon.lnk, explorer.exe, gmer, go_0molg.pad, gvu trojaner, gvu trojaner entfernen, gvu trojaner mit webcam, gvu-trojaner mit web-cam, hängt, installiert, lan-kabel, log, malwarebytes, offline, probleme, rechner, rechts, scan, scannen, tools, vista, vista 32bit, webcam gvu trojaner, webcamfenster, woche



Ähnliche Themen: GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit


  1. Unter Firefox friert Vista ein - oder doch ein Vista Explorer Problem?
    Alles rund um Windows - 10.11.2015 (24)
  2. Win Vista: GVU Trojaner
    Log-Analyse und Auswertung - 01.11.2013 (16)
  3. Vista x32 GVU Trojaner 2.12
    Log-Analyse und Auswertung - 12.08.2013 (7)
  4. bka trojaner 1.13 vista
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (2)
  5. GVU Trojaner 2.07 Vista
    Log-Analyse und Auswertung - 26.10.2012 (15)
  6. AKM Trojaner auf Vista
    Log-Analyse und Auswertung - 29.09.2012 (61)
  7. Win Vista BKA 1.13 Trojaner
    Log-Analyse und Auswertung - 27.09.2012 (6)
  8. BKA Trojaner 1.13 Vista
    Log-Analyse und Auswertung - 18.09.2012 (3)
  9. Win Vista GVU Trojaner 2.07
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (4)
  10. Win Vista GVU Trojaner 2.07
    Mülltonne - 14.07.2012 (1)
  11. Windows Vista wieder sauber nach entfernen von Vista Recovery?
    Log-Analyse und Auswertung - 14.06.2011 (5)
  12. Vista Security Tool 2010 / Antivirus Vista und deren Verbeitung über dubiose Websites
    Plagegeister aller Art und deren Bekämpfung - 27.04.2010 (4)
  13. Trojaner bei Vista
    Plagegeister aller Art und deren Bekämpfung - 18.04.2010 (1)
  14. Trojaner auf Vista !?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2009 (3)
  15. Vista 64-Bit-Edition auf DVD Alternative Windows Vista-Medien
    Alles rund um Windows - 18.04.2008 (4)
  16. Boot Manager von Vista erneuern, ohne Vista Patition zu löschen
    Alles rund um Windows - 16.01.2008 (1)
  17. Tip: Linux und Vista mit Bitlocker - Dualboot mit dem Vista Boot Manager
    Alles rund um Windows - 19.11.2007 (0)

Zum Thema GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit - Hallo und schon mal vielen vielen Dank für Euer Dasein!!! Weiß sonst keinen Rat mehr. Ich hoffe Ihr könnt mir helfen: Habe einen Rechner der mit Win Vista 32Bit läuft. - GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit...
Archiv
Du betrachtest: GVU-Trojaner mit Web-Cam auf Win Vista 32-Bit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.