Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.12.2012, 17:44   #1
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Hallo
Ich habe mir einen GVU Trojaner eingefangen. Dieser verlangt von mir innerhalb von 48 Stunden per Safepaycard 100 Euro zu bezahlen, da mir sonst ein Strafverfahren drohe.
Er tritt nur auf wenn ich eine Internetverbindung meines Laptops zu lasse. Kurz nachdem dann die Verbindung aufgebaut ist erscheint dann besagter Bildschirm, der auch über eine Kamera verfügt.
(Da die IP Adresse nicht stimmte habe ich bei der GVU angerufen, die mich dann an euch verwiesen haben ).

Mein Laptop ist der Dell latitude D630, mit dem System Windows XP, SP 3. Ich hoffe ihr könnt mir weiterhelfen. Habe mir auch schon OTL besorgt, aber noch keinen Scan gemacht.

lg, Feen

Alt 19.12.2012, 17:46   #2
markusg
/// Malware-holic
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Hi
neustarten, f8 drücken, abgesicherter Modus mit Netzwerk wählen, im betroffenen Konto anmelden, Internet Verbindung herstellen.
Wenn dies geht:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 19.12.2012, 17:53   #3
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 19.12.2012 18:59:26 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,73 Gb Available Physical Memory | 86,82% Memory free
3,84 Gb Paging File | 3,75 Gb Available in Paging File | 97,51% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 65,35 Gb Free Space | 87,68% Space Free | Partition Type: NTFS
Drive E: | 3,75 Gb Total Space | 3,67 Gb Free Space | 97,69% Space Free | Partition Type: FAT32
 
Computer Name: D630-10943B0916 | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{27E25625-DB51-42E6-BEB7-0C8DC878770C}" = Broadcom ASF Management Applications
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{72EEB695-388B-4835-8EA6-0C04545B06B9}" = Intel(R) PROSet/Wireless WiFi-Software
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8E7D7400-4F4F-409D-8F8A-43BF1DAC575A}" = TouchChip USB Driver 2.6
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller
"{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement
"{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"InstallShield_{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 30.11.2010 04:53:06 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1012
Description = Aufgrund von Hardwareänderungen auf diesem Computer, müssen Sie Windows
 erneut aktivieren.
 
Error - 20.01.2011 10:18:13 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1009
Description = Sie haben dieses Produkt nicht fristgerecht aktiviert. Wenden Sie 
sich telefonisch an den Kundendienst, um Windows zu aktivieren.  
 
Error - 04.12.2012 13:59:22 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description = 
 
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen 
werden.  Es werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene
 Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information
 ist DWORD 2.
 
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
 werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene Fehlercode
 ist DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information ist DWORD 2.
 
Error - 10.12.2012 11:55:03 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description = 
 
Error - 12.12.2012 09:46:20 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description = 
 
Error - 16.12.2012 14:34:46 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.12.2012 14:34:47 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 19.12.2012 13:26:45 | Computer Name = D630-10943B0916 | Source = Avira Antivirus | ID = 4122
Description = Die Datei AvShadow konnte nicht geladen werden.  Fehlercode: 0x3e5
 
[ System Events ]
Error - 07.12.2012 11:31:43 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 14:49:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 08.12.2012 17:20:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
 
< End of report >
         
--- --- ---
OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 19.12.2012 18:59:26 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,73 Gb Available Physical Memory | 86,82% Memory free
3,84 Gb Paging File | 3,75 Gb Available in Paging File | 97,51% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 65,35 Gb Free Space | 87,68% Space Free | Partition Type: NTFS
Drive E: | 3,75 Gb Total Space | 3,67 Gb Free Space | 97,69% Space Free | Partition Type: FAT32
 
Computer Name: D630-10943B0916 | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{27E25625-DB51-42E6-BEB7-0C8DC878770C}" = Broadcom ASF Management Applications
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{72EEB695-388B-4835-8EA6-0C04545B06B9}" = Intel(R) PROSet/Wireless WiFi-Software
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8E7D7400-4F4F-409D-8F8A-43BF1DAC575A}" = TouchChip USB Driver 2.6
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller
"{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement
"{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"InstallShield_{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202
"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 30.11.2010 04:53:06 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1012
Description = Aufgrund von Hardwareänderungen auf diesem Computer, müssen Sie Windows
 erneut aktivieren.
 
Error - 20.01.2011 10:18:13 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1009
Description = Sie haben dieses Produkt nicht fristgerecht aktiviert. Wenden Sie 
sich telefonisch an den Kundendienst, um Windows zu aktivieren.  
 
Error - 04.12.2012 13:59:22 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description = 
 
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2005
Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen 
werden.  Es werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene
 Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information
 ist DWORD 2.
 
Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2006
Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.
Es
 werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene Fehlercode
 ist DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information ist DWORD 2.
 
Error - 10.12.2012 11:55:03 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description = 
 
Error - 12.12.2012 09:46:20 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0
Description = 
 
Error - 16.12.2012 14:34:46 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 16.12.2012 14:34:47 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 19.12.2012 13:26:45 | Computer Name = D630-10943B0916 | Source = Avira Antivirus | ID = 4122
Description = Die Datei AvShadow konnte nicht geladen werden.  Fehlercode: 0x3e5
 
[ System Events ]
Error - 07.12.2012 11:31:43 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 14:49:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 08.12.2012 17:20:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016
Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID
 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung
 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste
 geändert werden.
 
 
< End of report >
         
--- --- ---
__________________

Geändert von Feen (19.12.2012 um 18:06 Uhr)

Alt 19.12.2012, 18:05   #4
markusg
/// Malware-holic
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
[2012.12.19 17:17:14 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad
 :Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.12.2012, 18:15   #5
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



OTL hat keinen Neustart verlangt

Error: Unable to interpret <activex> in the current context!
Error: Unable to interpret <netsvcs> in the current context!
Error: Unable to interpret <msconfig> in the current context!
Error: Unable to interpret <%SYSTEMDRIVE%\*.> in the current context!
Error: Unable to interpret <%PROGRAMFILES%\*.exe> in the current context!
Error: Unable to interpret <%LOCALAPPDATA%\*.exe> in the current context!
Error: Unable to interpret <%systemroot%\*. /mp /s> in the current context!
Error: Unable to interpret <C:\Windows\system32\*.tsp> in the current context!
Error: Unable to interpret </md5start> in the current context!
Error: Unable to interpret <userinit.exe> in the current context!
Error: Unable to interpret <eventlog.dll> in the current context!
Error: Unable to interpret <scecli.dll> in the current context!
Error: Unable to interpret <netlogon.dll> in the current context!
Error: Unable to interpret <cngaudit.dll> in the current context!
Error: Unable to interpret <ws2ifsl.sys> in the current context!
Error: Unable to interpret <sceclt.dll> in the current context!
Error: Unable to interpret <ntelogon.dll> in the current context!
Error: Unable to interpret <winlogon.exe> in the current context!
Error: Unable to interpret <logevent.dll> in the current context!
Error: Unable to interpret <user32.DLL> in the current context!
Error: Unable to interpret <explorer.exe> in the current context!
Error: Unable to interpret <iaStor.sys> in the current context!
Error: Unable to interpret <nvstor.sys> in the current context!
Error: Unable to interpret <atapi.sys> in the current context!
Error: Unable to interpret <IdeChnDr.sys> in the current context!
Error: Unable to interpret <viasraid.sys> in the current context!
Error: Unable to interpret <AGP440.sys> in the current context!
Error: Unable to interpret <vaxscsi.sys> in the current context!
Error: Unable to interpret <nvatabus.sys> in the current context!
Error: Unable to interpret <viamraid.sys> in the current context!
Error: Unable to interpret <nvata.sys> in the current context!
Error: Unable to interpret <nvgts.sys> in the current context!
Error: Unable to interpret <iastorv.sys> in the current context!
Error: Unable to interpret <ViPrt.sys> in the current context!
Error: Unable to interpret <eNetHook.dll> in the current context!
Error: Unable to interpret <ahcix86.sys> in the current context!
Error: Unable to interpret <KR10N.sys> in the current context!
Error: Unable to interpret <nvstor32.sys> in the current context!
Error: Unable to interpret <ahcix86s.sys> in the current context!
Error: Unable to interpret </md5stop> in the current context!
Error: Unable to interpret <%systemroot%\system32\drivers\*.sys /lockedfiles> in the current context!
Error: Unable to interpret <%systemroot%\System32\config\*.sav> in the current context!
Error: Unable to interpret <%systemroot%\system32\*.dll /lockedfiles> in the current context!
Error: Unable to interpret <%USERPROFILE%\*.*> in the current context!
Error: Unable to interpret <%USERPROFILE%\Local Settings\Temp\*.exe> in the current context!
Error: Unable to interpret <%USERPROFILE%\Local Settings\Temp\*.dll> in the current context!
Error: Unable to interpret <%USERPROFILE%\Application Data\*.exe> in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs> in the current context!
Error: Unable to interpret <CREATERESTOREPOINT> in the current context!
Error: Unable to interpret < > in the current context!
Error: Unable to interpret < > in the current context!

OTL by OldTimer - Version 3.2.69.0 log created on 12192012_191401


Alt 19.12.2012, 18:19   #6
markusg
/// Malware-holic
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Du hast ja auch nicht mein Script ausgeführt.
__________________
--> GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.

Alt 19.12.2012, 18:26   #7
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Entschuldige, bin gerade immer dabei, den einen Text auf meinem USB stick zu speichern und dann an einem anderen PC wieder zu kopieren. (mein W-Lan erreicht den Laptop hier nicht.) Dann muss mir wohl ein Script zwischendrin durcheinander gekomme sein.

Alt 19.12.2012, 18:27   #8
markusg
/// Malware-holic
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Kein Problem, dann führe das neue Script aus
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.12.2012, 18:34   #9
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



so, jetzt aber der text. OTL hat auch den Neustart ausgeführt

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: D630
->Flash cache emptied: 10353 bytes

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 109743 bytes

User: All Users

User: D630
->Temp folder emptied: 972583 bytes
->Temporary Internet Files folder emptied: 75172685 bytes
->FireFox cache emptied: 369643641 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 187168 bytes
RecycleBin emptied: 78590 bytes

Total Files Cleaned = 428,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 12192012_192926

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Alt 19.12.2012, 19:24   #10
markusg
/// Malware-holic
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Hi,
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.12.2012, 20:04   #11
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Combofix wollte keinen Neustart. Hier die Log.exe

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-12-19.02 - D630 19.12.2012  20:57:25.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2038.1530 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\D630\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-19 bis 2012-12-19  ))))))))))))))))))))))))))))))
.
.
2012-12-19 18:14 . 2012-12-19 18:14	--------	d-----w-	C:\_OTL
2012-12-19 17:29 . 2012-12-19 17:50	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2012-12-18 20:45 . 2012-12-18 20:45	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2012-12-18 20:21 . 2012-12-18 20:21	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-12-18 20:04 . 2012-12-19 16:20	--------	d-----w-	c:\windows\system32\NtmsData
2012-12-18 19:56 . 2012-12-18 19:56	--------	d-sh--w-	c:\dokumente und einstellungen\D630\PrivacIE
2012-12-10 20:58 . 2012-12-10 20:58	--------	d-----w-	c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-12-10 20:57 . 2012-12-10 20:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2012-12-05 19:53 . 2012-12-05 19:53	--------	d-sh--w-	c:\dokumente und einstellungen\D630\IETldCache
2012-12-04 22:28 . 2012-11-01 12:17	521728	-c----w-	c:\windows\system32\dllcache\jsdbgui.dll
2012-12-04 22:27 . 2011-08-16 10:45	6144	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2012-12-04 22:26 . 2012-11-01 12:17	630272	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2012-12-04 22:26 . 2012-11-01 12:17	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2012-12-04 22:26 . 2012-11-01 12:17	2000384	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2012-12-04 22:26 . 2012-11-01 12:17	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2012-12-04 22:26 . 2012-11-01 12:17	11111424	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2012-12-04 22:26 . 2012-11-01 12:17	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2012-12-04 22:26 . 2012-11-01 12:17	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2012-12-04 22:25 . 2012-12-04 22:26	--------	dc-h--w-	c:\windows\ie8
2012-12-04 22:17 . 2008-04-14 02:22	221184	----a-w-	c:\windows\system32\wmpns.dll
2012-12-04 18:09 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2012-12-04 18:09 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2012-12-04 18:08 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2012-12-04 18:07 . 2011-04-21 13:37	105472	-c----w-	c:\windows\system32\dllcache\mup.sys
2012-12-04 18:06 . 2012-05-28 18:16	536576	-c----w-	c:\windows\system32\dllcache\msado15.dll
2012-12-04 18:05 . 2012-07-04 14:05	139784	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2012-12-04 18:05 . 2011-04-30 03:01	758784	-c--a-w-	c:\windows\system32\dllcache\vgx.dll
2012-12-04 18:04 . 2011-07-08 14:02	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2012-12-04 18:04 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-12-04 18:04 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
2012-12-04 18:03 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2012-12-04 10:06 . 2012-12-19 16:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Nadine
2012-12-03 17:29 . 2012-12-16 18:41	--------	d-----w-	c:\dokumente und einstellungen\D630\Anwendungsdaten\.minecraft
2012-12-03 17:28 . 2012-12-03 17:28	--------	d-----w-	c:\windows\Sun
2012-12-03 17:28 . 2012-12-03 17:28	--------	d-----w-	c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Sun
2012-12-03 17:27 . 2012-12-03 17:27	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-12-03 17:27 . 2012-12-03 17:26	821736	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-12-03 17:27 . 2012-12-03 17:26	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-12-03 17:27 . 2012-12-03 17:26	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-12-03 17:26 . 2012-12-03 17:26	--------	d-----w-	c:\programme\Java
2012-12-03 17:19 . 2012-12-03 17:19	--------	d-----w-	c:\dokumente und einstellungen\D630\Anwendungsdaten\Avira
2012-12-03 17:14 . 2012-12-11 13:35	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-12-03 17:14 . 2012-12-11 13:35	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-12-03 17:14 . 2012-11-16 19:17	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-12-03 17:14 . 2012-12-03 17:14	--------	d-----w-	c:\programme\Avira
2012-12-03 17:14 . 2012-12-03 17:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-12-03 17:01 . 2012-12-05 19:52	--------	d-----w-	c:\windows\system32\de-de
2012-12-03 17:01 . 2012-12-03 17:01	--------	d-----w-	c:\windows\l2schemas
2012-12-03 17:01 . 2012-12-03 17:01	--------	d-----w-	c:\windows\system32\de
2012-12-03 17:01 . 2012-12-03 17:01	--------	d-----w-	c:\windows\system32\bits
2012-12-03 16:36 . 2012-12-18 17:00	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-03 16:36 . 2012-12-18 17:00	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-12-03 16:30 . 2012-12-03 16:30	--------	d-----w-	c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-12-03 16:30 . 2012-12-03 16:30	--------	d-----w-	c:\programme\Mozilla Maintenance Service
2012-12-03 16:15 . 2001-08-18 03:22	12288	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys
2012-12-03 16:15 . 2001-08-18 03:22	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2012-12-03 16:15 . 2008-04-13 18:45	10368	----a-w-	c:\windows\system32\drivers\hidusb.sys
2012-12-03 08:46 . 2012-12-03 08:46	--------	d-----w-	c:\dokumente und einstellungen\D630\Anwendungsdaten\OpenOffice.org
2012-12-03 08:44 . 2012-12-03 08:44	--------	d-----w-	c:\programme\OpenOffice.org 3
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-13 11:55 . 2004-08-04 12:00	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-11-06 00:41 . 2004-08-04 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-02 02:02 . 2004-08-04 12:00	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2004-08-04 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 12:00	385024	------w-	c:\windows\system32\html.iec
2012-10-02 18:04 . 2004-08-04 12:00	58368	----a-w-	c:\windows\system32\synceng.dll
2012-11-29 08:26 . 2012-12-03 16:30	262112	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-11 13594624]
"nwiz"="nwiz.exe" [2009-03-11 1657376]
"NVHotkey"="nvHotkey.dll" [2009-03-11 90112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-11 86016]
"ITSecMng"="c:\programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2009-05-21 1372160]
"IntelWireless"="c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2009-05-21 1202448]
"KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2007-07-02 159744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-23 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-23 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-23 142360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-11 384800]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\D630\Startmenü\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [03.12.2012 18:14 36552]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.12.2012 18:14 85280]
R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service --> c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service [?]
R3 DXEC01;DXEC01;c:\windows\system32\drivers\dxec01.sys [02.11.2006 11:32 97536]
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-03 17:00]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\D630\Anwendungsdaten\Mozilla\Firefox\Profiles\z7vfrhqw.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-19 21:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\netprovcredman.dll
.
- - - - - - - > 'explorer.exe'(3652)
c:\windows\system32\igfxdo.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-12-19  21:01:59
ComboFix-quarantined-files.txt  2012-12-19 20:01
.
Vor Suchlauf: 7 Verzeichnis(se), 70.438.068.224 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 70.395.428.864 Bytes frei
.
- - End Of File - - F9785361BB6C3BD099354430AFFAC04B
         
--- --- ---

Alt 20.12.2012, 12:44   #12
markusg
/// Malware-holic
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Hi,
PC, wenn möglich, wieder ans Internet.
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.12.2012, 18:40   #13
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Hallo

hier der Logfile

Malwarebytes Anti-Malware 1.65.1.1000
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2012.12.20.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
D630 :: D630-10943B0916 [Administrator]

20.12.2012 18:58:09
mbam-log-2012-12-20 (18-58-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237788
Laufzeit: 37 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\1ede2ede-7c4e7901 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Alt 20.12.2012, 18:42   #14
markusg
/// Malware-holic
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



lade den CCleaner standard:
CCleaner Download - CCleaner 3.25.1872
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.12.2012, 18:58   #15
Feen
 
GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Standard

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.



Adobe Flash Player 11 Plugin Adobe Systems Incorporated 18.12.2012 11.5.502.135 nötig
Adobe Reader XI - Deutsch Adobe Systems Incorporated 10.12.2012 129,00MB 11.0.00 nötig
Avira Free Antivirus Avira 20.12.2012 13.0.0.2890 nötig
Bluetooth Stack for Windows by Toshiba TOSHIBA CORPORATION 25.11.2009 57,55MB v6.01.03(D) unbekannt
Broadcom ASF Management Applications Ihr Firmenname 25.11.2009 7,22MB 10.13.02 unbekannt
Broadcom Gigabit Integrated Controller Broadcom Corporation 19.10.2010 0,47MB 10.15.08 unbekannt
CCleaner Piriform 25.11.2012 3.25
Conexant HDA D330 MDC V.92 Modem 19.10.2010 unbekannt
Dell Touchpad Alps Electric 19.10.2010 7.1.102.7 nötig
High Definition Audio Driver Package - KB835221 Microsoft Corporation 25.11.2009 nötig 20040219.000000
Intel(R) Graphics Media Accelerator Driver Intel Corporation 19.12.2012 nötig
Intel(R) PROSet/Wireless WiFi-Software Intel(R) Corporation 25.11.2009 95,77MB 12.04.3000 nötig
IntelliSonic Speech Enhancement Knowles Acoustics 19.10.2010 1,54MB 2.1.37 unbekannt
Java 7 Update 9 Oracle 03.12.2012 128,00MB 7.0.90 unbekannt
Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation nötig 20.12.2012 1.65.1.1000
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 unbekannt / nicht nötig
Mozilla Firefox 17.0.1 (x86 de) Mozilla 03.12.2012 17.0.1 nötig
Mozilla Maintenance Service Mozilla 03.12.2012 17.0.1 unbekannt
NVIDIA Drivers NVIDIA Corporation 19.12.2012 1.3 nötig
OpenOffice.org 3.2 OpenOffice.org 03.12.2012 364,00MB 3.2.9502 nötig
OZ776 SCR Driver V1.1.4.202 O2Micro 19.10.2010 1.1.4.202 unbekannt
SigmaTel Audio SigmaTel 25.11.2009 5.10.5210.0 unbekannt
Windows Internet Explorer 8 Microsoft Corporation 04.12.2012 nicht nötig 20090308.140743
Windows XP Service Pack 3 Microsoft Corporation 03.12.2012 nötig 20080414.031514



bei den Programmen die ich mir installieren sollte war ich mir z.T. nicht ganz sicher was ich da hinter schreiben soll.

Antwort

Themen zu GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.
48 stunden, adresse, bezahlen, bildschirm, erscheint, euro, gesperrt, gvu entfernen, hoffe, innerhalb, interne, internetverbindung, ip adresse, kamera, laptops, latitude, scan, stunde, stunden, system, troja, trojaner, verbindung, verlangt, windows, windows xp, zahlen



Ähnliche Themen: GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.


  1. Computer gesperrt und 100 Euro zahlen
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (19)
  2. Virus: Rechner gesperrt 100 Euro via paysafe zahlen ...
    Plagegeister aller Art und deren Bekämpfung - 25.02.2013 (9)
  3. Windows gesperrt-Aufforderung 50 Euro zu zahlen
    Plagegeister aller Art und deren Bekämpfung - 13.04.2012 (2)
  4. windows XP gesperrt ich soll 50 euro zahlen
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (7)
  5. windows XP gesperrt ich soll 50 euro zahlen
    Alles rund um Windows - 29.03.2012 (2)
  6. E-Voting-System in den USA binnen 48 Stunden geknackt
    Nachrichten - 05.03.2012 (0)
  7. Virus! windows 7 gesperrt, 50 Euro zahlen
    Log-Analyse und Auswertung - 15.02.2012 (15)
  8. Windows Gesperrt 50 Euro zahlen
    Plagegeister aller Art und deren Bekämpfung - 13.02.2012 (10)
  9. [2x] ihr system wurde gesperrt /50 euro für dateien zahlen
    Mülltonne - 07.02.2012 (1)
  10. windows gesperrt....50 euro zahlen
    Log-Analyse und Auswertung - 24.01.2012 (1)
  11. Windows durch das besuchen spezieller Seiten gesperrt - 50 Euro zahlen
    Log-Analyse und Auswertung - 24.01.2012 (11)
  12. Windows gesperrt - 50 Euro zu zahlen
    Log-Analyse und Auswertung - 20.01.2012 (12)
  13. 50 Euro zahlen ! Aus Sicherheitsgründen wurde ihr Windowssystem gesperrt
    Log-Analyse und Auswertung - 11.01.2012 (5)
  14. Windowssystem gesperrt - 50 Euro zahlen
    Plagegeister aller Art und deren Bekämpfung - 05.01.2012 (23)
  15. windows gesperrt....50 euro zahlen
    Log-Analyse und Auswertung - 28.12.2011 (3)
  16. windows gesperrt....50 euro zahlen
    Log-Analyse und Auswertung - 21.12.2011 (11)
  17. Windows gesperrt 50 euro zahlen brauche dringend hilfe
    Log-Analyse und Auswertung - 21.12.2011 (4)

Zum Thema GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. - Hallo Ich habe mir einen GVU Trojaner eingefangen. Dieser verlangt von mir innerhalb von 48 Stunden per Safepaycard 100 Euro zu bezahlen, da mir sonst ein Strafverfahren drohe. Er tritt - GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen....
Archiv
Du betrachtest: GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.