Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GVU Trojaner mit Webcam unter XP

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.11.2012, 13:01   #1
chamaeleon86
 
GVU Trojaner mit Webcam unter XP - Icon16

GVU Trojaner mit Webcam unter XP



Hallo, ich habe hier einen PC mit GVU Trojaner. Ich habe OTL herunter geladen und ausgeführt. Anbei die Log-Files und ein Foto des Sperrbildschirms. Wie soll ich weiter verfahren?

Vielen Dank schon jetzt!
Miniaturansicht angehängter Grafiken
GVU Trojaner mit Webcam unter XP-foto.jpg  

Alt 03.11.2012, 17:52   #2
t'john
/// Helfer-Team
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP





Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
ATTFilter
:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe (Microsoft Corporation) 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-21-839522115-515967899-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
[2012.11.03 11:59:22 | 083,023,306 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad 
[2012.11.01 10:34:58 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe 
[2012.11.01 10:34:59 | 000,001,086 | ---- | M] () -- C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk 

:Files
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Neumann\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Neumann\*.exe
C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.



4. Schritt
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
__________________

__________________

Alt 04.11.2012, 10:37   #3
chamaeleon86
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Hallo John,

vielen Dank für die schnelle Hilfe. Der Rechner läuft jetzt schon wieder (scheinbar) normal.
Anbei die Log-Files:

1.) ODT

Code:
ATTFilter
All processes killed
========== OTL ==========
File move failed. C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe not found.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-21-839522115-515967899-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe not found.
File C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk not found.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Neumann\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Neumann\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found.
Folder C:\Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Neumann\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Neumann\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Neumann
->Temp folder emptied: 17152 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 1551333095 bytes
 
Total Files Cleaned = 1.480,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11032012_180804

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         
2.) MalwareBytes

Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.03.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Neumann :: PC [Administrator]

03.11.2012 18:16:14
mbam-log-2012-11-03 (22-18-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 506624
Laufzeit: 2 Stunde(n), 49 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
F:\Programme\WhiteSmoke\whitesmoke-silent.exe (PUP.BHO) -> Keine Aktion durchgeführt.

(Ende)
         
3.) AdwCleaner R1

Code:
ATTFilter
# AdwCleaner v2.006 - Datei am 04/11/2012 um 10:22:25 erstellt
# Aktualisiert am 30/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Neumann - PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Neumann\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2D360201-FFF5-11D1-8D03-00A0C959BC0A}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{20E1481B-E285-4ABC-ADC7-AE24842B81CD}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{2D360201-FFF5-11D1-8D03-00A0C959BC0A}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{92E5039E-FF1E-4AFB-8F24-87592D20C383}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1331 octets] - [04/11/2012 10:22:25]

########## EOF - C:\AdwCleaner[R1].txt - [1391 octets] ##########
         
4.) AdwCleaner S1

Code:
ATTFilter
# AdwCleaner v2.006 - Datei am 04/11/2012 um 10:23:39 erstellt
# Aktualisiert am 30/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Neumann - PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Neumann\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2D360201-FFF5-11D1-8D03-00A0C959BC0A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{20E1481B-E285-4ABC-ADC7-AE24842B81CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2D360201-FFF5-11D1-8D03-00A0C959BC0A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{92E5039E-FF1E-4AFB-8F24-87592D20C383}

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1460 octets] - [04/11/2012 10:22:25]
AdwCleaner[S1].txt - [1393 octets] - [04/11/2012 10:23:39]

########## EOF - C:\AdwCleaner[S1].txt - [1453 octets] ##########
         
5.) Ich habe noch einmal einen ODT-Suchlauf gemacht, weil mir das ODT-Logfile komisch vorkam (laienhaft, wie ich bin). Sollte ein neuer Scan von Interesse sein: Siehe Anhang.

Mal gespannt, wie es weiter geht…

Viele Grüße
__________________

Alt 05.11.2012, 14:44   #4
t'john
/// Helfer-Team
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Sehr gut!

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 05.11.2012, 19:20   #5
chamaeleon86
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Hallo,

der Rechner läuft gut. Hier der Bericht des Scans:
Code:
ATTFilter
Emsisoft Anti-Malware - Version 7.0
Letztes Update: 05.11.2012 16:07:01

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, E:\, F:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	05.11.2012 16:07:20

C:\Programme\WhiteSmoke\HookDllOE.dll 	gefunden: Trojan.Win32.WhiteSmoke.AMN (A)
C:\Programme\WhiteSmoke\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\dictClientDic\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\floatingButton\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\floatingButton_howto\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\gui\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\registration\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\settings\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\templates\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\userGuide\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\common\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\common\iepngfix\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\html\english\common\js\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WhiteSmoke\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Dokumente und Einstellungen\Neumann\Anwendungsdaten\WhiteSmoke\ 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\WSDictHookDll.dll 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\WSEngine.dll 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\WSEnrichment.exe 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\WSMouseHook.dll 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\buy.ico 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\FloatButtonWhiteApps.txt 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\NotifierWhiteApps.txt 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\settings.ini 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\WSLogger.exe 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\WSTray64.exe 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\ComVistaElevator.dll 	gefunden: Trace.File.WhiteSmoke (A)
C:\Programme\WhiteSmoke\HookDllOE64.dll 	gefunden: Trace.File.WhiteSmoke (A)
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WhiteSmoke\Launch WhiteSmoke.lnk 	gefunden: Trace.File.WhiteSmoke (A)
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WhiteSmoke\Uninstall.lnk 	gefunden: Trace.File.WhiteSmoke (A)
C:\Dokumente und Einstellungen\Neumann\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Launch WhiteSmoke.lnk 	gefunden: Trace.File.WhiteSmoke (A)
C:\Dokumente und Einstellungen\Neumann\Anwendungsdaten\WhiteSmoke\stat.log 	gefunden: Trace.File.WhiteSmoke (A)
C:\Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\Launch WhiteSmoke.lnk 	gefunden: Trace.File.WhiteSmoke (A)
Key: hkey_users\s-1-5-21-839522115-515967899-682003330-1003\software\whitesmoke 	gefunden: Trace.Registry.WhiteSmoke (A)
Key: hkey_users\s-1-5-21-839522115-515967899-682003330-1003\software\whitesmoke\maindlg 	gefunden: Trace.Registry.WhiteSmoke (A)
Key: hkey_users\s-1-5-21-839522115-515967899-682003330-1003\software\whitesmoke\profiles 	gefunden: Trace.Registry.WhiteSmoke (A)
C:\Programme\WhiteSmoke\Registration.exe 	gefunden: Trojan.Win32.WhiteSmoke.AMN (A)

Gescannt	624271
Gefunden	38

Scan Ende:	05.11.2012 18:13:04
Scan Zeit:	2:05:44

Key: hkey_users\s-1-5-21-839522115-515967899-682003330-1003\software\whitesmoke	Quarantäne Trace.Registry.WhiteSmoke (A)
Key: hkey_users\s-1-5-21-839522115-515967899-682003330-1003\software\whitesmoke\maindlg	Quarantäne Trace.Registry.WhiteSmoke (A)
Key: hkey_users\s-1-5-21-839522115-515967899-682003330-1003\software\whitesmoke\profiles	Quarantäne Trace.Registry.WhiteSmoke (A)

Quarantäne	3
         
Was gibt's als nächstes zutun?

und viele Grüße


Alt 05.11.2012, 21:34   #6
t'john
/// Helfer-Team
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Sehr gut!

Lasse die Funde in Quarantaene verschieben, dann:

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
--> GVU Trojaner mit Webcam unter XP

Alt 07.11.2012, 06:52   #7
chamaeleon86
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Hallo,

hier das nächste Ergebnis:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=47ae312bd4376e4db97c7f8bd9dbc42a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-06 10:27:48
# local_time=2012-11-06 11:27:48 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 3910 3910 0 0
# scanned=310201
# found=5
# cleaned=5
# scan_time=6319
C:\_OTL\MovedFiles\11032012_180208\C_Dokumente und Einstellungen\Neumann\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\4bced3a-6ee74506	multiple threats (deleted - quarantined)	00000000000000000000000000000000	C
C:\_OTL\MovedFiles\11032012_180208\C_Dokumente und Einstellungen\Neumann\Startmenü\Programme\Autostart\ctfmon.lnk	Win32/Reveton.J trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
F:\Programme\WhiteSmoke\WhiteSmokeRegistration.exe	probably a variant of Win32/WhiteSmoke application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
F:\Programme\WhiteSmoke\html\english\dictClientDic\index.html	HTML/WhiteSmoke application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
F:\Programme\WhiteSmoke\html\english\dictClientDic\translator.html	HTML/WhiteSmoke application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
         
Um schon mal vorweg zu greifen: Dies ist das Ergebnis des Plugin-Checks:

Zitat:

PluginCheck

Firefox 16.0 ist aktuell

Flash ist nicht installiert oder aktiviert.

Java (1,7,0,9) ist aktuell.

Adobe Reader 10,1,4,38 ist aktuell.


Wie geht's weiter?
und viele Grüße

Geändert von chamaeleon86 (07.11.2012 um 07:16 Uhr) Grund: Erweiterung um Plugin-Check

Alt 08.11.2012, 09:14   #8
t'john
/// Helfer-Team
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 08.11.2012, 09:39   #9
chamaeleon86
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Hier das Ergbnis nach Deinstallation von Java:

Zitat:
PluginCheck

Firefox 16.0 ist aktuell

Flash ist nicht installiert oder aktiviert.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 10,1,4,38 ist aktuell.
Viele Grüße!

Alt 08.11.2012, 09:44   #10
t'john
/// Helfer-Team
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 08.11.2012, 10:50   #11
chamaeleon86
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



Vielen Dank für die tolle Hilfe und bis zum nächsten Mal.

Alt 09.11.2012, 00:07   #12
t'john
/// Helfer-Team
 
GVU Trojaner mit Webcam unter XP - Standard

GVU Trojaner mit Webcam unter XP



wuensche eine virenfreie Zeit
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu GVU Trojaner mit Webcam unter XP
anbei, foto, geladen, gvu trojaner, gvu trojaner mit webcam, herunter, log-files, troja, trojaner, webcam, windows xp



Ähnliche Themen: GVU Trojaner mit Webcam unter XP


  1. GVU Trojaner hat Windows 7 gesperrt - Webcam - paysafecard oder ukash - Trojaner-Board
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (3)
  2. GVU Trojaner mit Webcam unter Win7 64-Bit
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (4)
  3. BKA Trojaner mit Webcam
    Log-Analyse und Auswertung - 19.01.2013 (7)
  4. GVU Trojaner unter Windows 7 mit Webcam; Admin Anmeldung war möglich
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (13)
  5. GVU Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (10)
  6. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 11.11.2012 (3)
  7. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 26.10.2012 (6)
  8. GVU Trojaner + Webcam
    Log-Analyse und Auswertung - 16.08.2012 (8)
  9. GVU Trojaner (mit Webcam?) unter Windows 7
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (36)
  10. GVU Trojaner (mit Webcam?) unter Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (2)
  11. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 20.07.2012 (5)
  12. GVU Trojaner mit Webcam Fenster unter Windows 7
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (12)
  13. GVU TROJANER mit Webcam
    Log-Analyse und Auswertung - 19.07.2012 (8)
  14. GVU Trojaner unter Windows 7 mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (23)
  15. GVU-trojaner mit webcam
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (2)
  16. GVU Trojaner mit Webcam
    Log-Analyse und Auswertung - 06.07.2012 (3)
  17. GVU Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (3)

Zum Thema GVU Trojaner mit Webcam unter XP - Hallo, ich habe hier einen PC mit GVU Trojaner. Ich habe OTL herunter geladen und ausgeführt. Anbei die Log-Files und ein Foto des Sperrbildschirms. Wie soll ich weiter verfahren? Vielen - GVU Trojaner mit Webcam unter XP...
Archiv
Du betrachtest: GVU Trojaner mit Webcam unter XP auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.