Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner mit Komplettsperrung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.01.2013, 18:06   #16
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Lass ihn ruhig arbeiten, und melde dich, bei Problemen bzw erfolg
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 10.01.2013, 19:35   #17
Auriana
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



sicher, dass das noch normal ist? Mittlerweile läuft es ja bald 2 Stunden und es tut sich nichts auf dem Bildschirm... Nur das blinkende Leerzeichen unter dem vorhin geposteten Text blinkt fröhlich vor sich her. Und den Rechner hört man arbeiten.
__________________


Alt 10.01.2013, 19:38   #18
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Na wenn er noch arbeitet, dann passt das denke ich, kannst du versuchen einen Ordner zu öffnen? wenn der Rechner nicht hängt, lass ihn rödeln.
__________________
__________________

Alt 10.01.2013, 22:08   #19
Auriana
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Okay... heute wird das nichts mehr. Ich bin jetzt erstmal nach hause gegangen und lasse den Rechner über Nacht laufen. Melde mich dann morgen früh, in der Hoffnung, dass dann was passiert ist.

Heute morgen immernoch das gleiche Bild... Aufgegangen ist der PC aber nicht, Ordner lassen sich öffnen, wenn auch sehr langsam.

Aufgehangen meinte ich. Nette Autokorrektur

Ganz ehrlich? Ich glaub nicht mehr, dass da noch mehr kommt... gibts noch eine andere Möglichkeit?

Alt 11.01.2013, 19:07   #20
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Hi
brichs mal ab, starte neu, drücke f8 wähle abgesicherter modus, melde dich im Konto an, und versuchs noch mal, diesmal aber nur 1 2 stunden.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.01.2013, 19:55   #21
Auriana
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Nun hat es wohl doch endlich geklappt Bin jetzt erst wieder hergekommen, deshalb auch erst jetzt das Logfile:

Code:
ATTFilter
ComboFix 13-01-11.01 - Ooopa 12.01.2013   8:39.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.447.290 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Ooopa\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
 ADS - WINDOWS: deleted 24 bytes in 1 streams. 
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ooopa\WINDOWS
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\windows\IsUn0407.exe
c:\windows\system32\0_exception.nls
c:\windows\system32\msvcrtd.exe
c:\windows\system32\Packet.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\system32\wsnpoem
c:\windows\system32\wsnpoem\audio.dll
c:\windows\system32\wsnpoem\video.dll
c:\windows\XSxS
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_ASC3550O
-------\Legacy_ASC3550U
-------\Legacy_LDRSVC
-------\Legacy_MSN_RAV
-------\Legacy_NETTHROTTLE
-------\Legacy_NPF
-------\Legacy_NTMLSVC
-------\Legacy_RUNTIME
-------\Legacy_RUNTIME2
-------\Service_asc3550o
-------\Service_asc3550u
-------\Service_ldrsvc
-------\Service_MSN RAV
-------\Service_NetThrottle
-------\Service_NPF
-------\Service_NtmlSvc
-------\Service_runtime
-------\Service_runtime2
-------\Service_xpdx
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-12 bis 2013-01-12  ))))))))))))))))))))))))))))))
.
.
2013-01-11 09:26 . 2013-01-11 09:26	--------	d-----w-	c:\dokumente und einstellungen\Ooopa\Anwendungsdaten\AVG9
2013-01-10 21:53 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2013-01-10 21:53 . 2013-01-10 21:53	--------	d-----w-	C:\_OTL
2013-01-10 16:08 . 2013-01-10 16:08	--------	d-----w-	C:\found.000
2013-01-10 12:11 . 2013-01-10 13:57	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-01-10 08:32 . 2013-01-10 08:32	--------	d-----w-	c:\dokumente und einstellungen\Administrator
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:23 . 2004-08-04 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2009-02-10 11:06	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-11-06 02:01 . 2009-02-15 09:34	1371648	------w-	c:\windows\system32\msxml6.dll
2012-11-02 02:02 . 2004-08-04 12:00	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 03:28 . 2004-08-04 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 03:28 . 2004-08-04 12:00	1830912	------w-	c:\windows\system32\inetcpl.cpl
2012-11-01 03:28 . 2004-08-04 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2012-11-01 03:28 . 2004-08-04 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2004-03-11 12:27 . 2005-11-20 18:12	40960	----a-w-	c:\programme\Uninstall_CDS.exe
2012-11-16 10:04 . 2011-12-17 11:32	136672	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Facebook Update"="c:\dokumente und einstellungen\Ooopa\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe" [2012-07-17 138096]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTrayp"="VTtrayp.exe" [2004-06-21 143360]
"VTTimer"="VTTimer.exe" [2004-10-01 53248]
"UMonit"="c:\windows\System32\umonit.exe" [2003-08-21 49152]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1197649311\ee\AOLSoftware.exe" [2006-09-26 50736]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"AVG9_TRAY"="c:\progra~1\AVG\avgtray.exe" [2012-02-06 2077536]
"SPC230NC_Monitor"="c:\windows\Philips\SPC230NC\Monitor.exe" [2007-12-10 323584]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-11-20 98304]
"SPC_Monitor"="c:\windows\Philips\SPC230NC\Monitor.exe" [2007-12-10 323584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0a\aoltray.exe [2007-9-2 156784]
TrayMin230.lnk - c:\programme\Philips\Philips SPC230NC Webcam\TrayMin230.exe [2011-12-20 241664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-18 19:40	12536	----a-w-	c:\windows\system32\avgrsstx.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprestrt
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Facebook Update]
2012-07-17 11:05	138096	----atw-	c:\dokumente und einstellungen\Ooopa\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
2007-02-04 11:02	79400	----a-w-	c:\programme\ScanSoft\OmniPageSE4\OpWareSE4.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
2003-12-04 10:34	406016	----a-w-	c:\windows\system32\PSDrvCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2005-11-20 18:26	98304	----a-w-	c:\programme\QuickTime\qttask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
2008-08-26 20:26	26112	----a-w-	c:\programme\Real\RealPlayer\realplay.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 08:27	17351304	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SPC_Monitor]
2007-12-10 14:55	323584	----a-w-	c:\windows\Philips\SPC230NC\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 08:03	210472	----a-w-	c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"RealTray"=c:\programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"CloneCDTray"="c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
"CloneCDElbyCDFL"="c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0a\\waol.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\1197649311\\ee\\aolsoftware.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\AVG\\avgupd.exe"=
"c:\\Programme\\AVG\\avgnsx.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\Ooopa\\Lokale Einstellungen\\Anwendungsdaten\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
.
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [22.11.2007 16:40 14848]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [10.02.2009 20:41 216400]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [22.11.2007 16:40 32768]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [10.02.2009 20:41 243152]
R3 PAEAFLT.sys;USB Composite Device;c:\windows\system32\drivers\PAEAFLT.sys [20.12.2011 18:27 8576]
R3 SPC230NC;Philips SPC230NC Webcam;c:\windows\system32\drivers\SPC230NC.SYS [20.12.2011 18:27 461056]
S1 kcp;kcp;\??\c:\windows\system32\drivers\kcp.sys --> c:\windows\system32\drivers\kcp.sys [?]
S2 ousbehci;NEC PCI to USB Enhanced Host Controller;c:\windows\system32\drivers\ousbehci.sys [20.11.2005 19:23 39680]
S3 fixustor;fixustor;c:\windows\system32\drivers\fixustor.sys [20.11.2005 19:33 6016]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-12 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 11:45]
.
2013-01-09 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1935655697-688789844-682003330-1004Core.job
- c:\dokumente und einstellungen\Ooopa\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2011-12-20 11:05]
.
2013-01-09 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1935655697-688789844-682003330-1004UA.job
- c:\dokumente und einstellungen\Ooopa\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe [2011-12-20 11:05]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.o2online.de/goto/isphome
uInternet Settings,ProxyOverride = <local>
IE: Easy-WebPrint Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
TCP: DhcpNameServer = 192.168.1.1 193.189.244.194 193.189.244.202
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Ooopa\Anwendungsdaten\Mozilla\Firefox\Profiles\dkyyrzy7.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Easy-PhotoPrint - c:\windows\ISUN0407.EXE
AddRemove-Easy-PhotoPrint Plus - c:\windows\ISUN0407.EXE
AddRemove-Easy-WebPrint - c:\windows\IsUn0407.exe
AddRemove-PowerDVD - c:\windows\IsUn0407.exe
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-12 08:52
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  UMonit = c:\windows\System32\umonit.exe?USB\Vid_05e3&Pid_0710??106&PI????8???B\ROOT_HUB??????CI\?8??????? ???????8???????l????I?w8????????????b@??????$?w????????au?w?????u?wPr?w??@????w????????@???????????????????????????x??????????????w0!?w?????u?w???w??????????@ 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1800)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AVG\avgchsvx.exe
c:\programme\AVG\avgrsx.exe
c:\programme\AVG\avgcsrvx.exe
c:\programme\Gemeinsame Dateien\AccSys\accsvc.exe
c:\programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\programme\AVG\avgwdsvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\TUProgSt.exe
c:\programme\AVG\avgnsx.exe
c:\windows\system32\VTtrayp.exe
c:\windows\system32\VTTimer.exe
c:\programme\TuneUp Utilities 2009\OneClick.exe
c:\programme\TuneUp Utilities 2009\RegistryCleaner.exe
c:\windows\System32\TuneUpDefragService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-12  09:13:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-12 08:12
.
Vor Suchlauf: 10 Verzeichnis(se), 21.015.048.192 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 21.087.793.152 Bytes frei
.
- - End Of File - - EF4839F48E6E324767C65494FB330237
         

Alt 13.01.2013, 17:18   #22
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Hi
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.01.2013, 20:16   #23
Auriana
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.13.06

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 7.0.5730.13
Ooopa :: BYCDGAIWRZ1WMLC [Administrator]

13.01.2013 17:49:00
mbam-log-2013-01-13 (17-49-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 308341
Laufzeit: 49 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCR\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} (Trojan.BHO) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Ooopa\Cookies\MM2048.DAT (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Ooopa\Cookies\MM256.DAT (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Alt 13.01.2013, 20:17   #24
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



hi,
- internet explorer 8, auch wenn du nen andern browser nutzt, muss er aktuell sein.
Download: Windows Internet Explorer 8 für Windows XP - Microsoft Download Center - Download Details

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.01.2013, 21:25   #25
Auriana
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Internet Explorer hab ich aktualisiert, wird wohl aber noch einiges anderes nötig sein zu aktualisieren.

hier die Liste:

Ad-aware 6 Personal Lavasoft Sweden 6.0 unnötig
ADAC RoutenPlaner 2006/2007 04.01.2006 unnötig
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.0.42.34 notwendig (aktualisieren?)
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 11.1.102.55 notwendig (aktualisieren?)
Adobe Reader 9 - Deutsch Adobe Systems Incorporated 10.02.2009 234,00MB 9.0.0 notwendig (aktualisieren?)
AOL Coach Version 1.0(Build:20040229.1 de) notwendig
AOL Deinstallation notwendig
AVG Free 9.0 AVG Technologies Anti-Virenprogramm, notwendig?
Canon MP Navigator EX 1.0 notwendig
Canon MP520 series notwendig
Canon MP520 series Benutzerregistrierung notwendig
Canon My Printer Druckerzubehör, notwendig?
Canon Utilities Easy-PhotoPrint EX unnötig
Canon Utilities Solution Menu notwendig
Catch the Sperm! unnötig
CCleaner Piriform 19.12.2012 3.26 notwendig?
CloneCD Elaborate Bytes notwendig
CloneDVD2 Elaborate Bytes notwendig
Content Manager 2 Harman Becker Automotive Systems 2.0.4.63 unnötig
Der Schatz des Pharao XS unnötig
DivX Player notwendig
DSL Connection Manager 1.00.000 notwendig
DVD Solution unnötig
Facebook Video Calling 1.2.0.287 Skype Limited 05.11.2012 4,77MB 1.2.287 notwendig
Google Earth Google 02.08.2008 25,28MB 4.3.7284.3916 notwendig (aktualisieren?)
Java(TM) 6 Update 11 Sun Microsystems, Inc. 28.11.2008 90,49MB 6.0.110 notwendig?
Luxor Amun Rising with Luxor MumboJumbo, LLC notwendig
Malwarebytes Anti-Malware Version 1.70.0.1100 Malwarebytes Corporation 13.01.2013 1.70.0.1100 notwendig?
Microsoft Office 2000 Standard Microsoft Corporation 20.11.2005 147,00MB 9.00.2816 notwendig
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 01.12.2009 5,25MB 8.0.59193 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 07.01.2013 10,20MB 9.0.30729.6161 unbekannt
Moorhuhn Kart Extra XXL unnötig
Moorhuhn WE AYCS unnötig
Moorhuhn X - XS unnötig
Moorhuhnjagd AYCS unnötig
Mozilla Firefox 14.0.1 (x86 de) Mozilla 14.0.1 notwendig
Mozilla Maintenance Service Mozilla 14.0.1 unbekannt
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 30.11.2007 2,62MB 4.20.9848.0 unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 12.11.2008 2,67MB 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 25.11.2009 2,77MB 4.20.9876.0 unbekannt
Multimedia Launcher unbekannt
Naviextras Toolbox Prerequesities Nav N Go Ltd. 29.12.2009 3,86MB 1.0.0 unnötig
Nero 7 Essentials Nero AG 27.08.2008 582,00MB 7.02.9491 unnötig
OLYMPUS Master OLYMPUS IMAGING CORP. 12.12.2005 1.10.2000 unnötig
OpenOffice.org 3.4.1 Apache Software Foundation 07.01.2013 324,00MB 3.41.9593 notwendig
Paint Shop Pro 7 Jasc Software Inc 12.12.2005 147,00MB 7.0.0.0000 unnötig
PDFCreator Frank Heindörfer, Philip Chinery 04.07.2011 1.2.1 notwendig
Philips SPC230NC Webcam Philips 20.12.2011 1.0.0.0 notwendig
Pinnacle Hollywood FX 5 unnötig
QuickTime notwendig?
RealPlayer Basic unnötig
S3 S3Display unbekannt
S3 S3Gamma2 unbekannt
S3 S3Info2 unbekannt
S3 S3Overlay unbekannt
S3 S3TrayPlus unbekannt
ScanSoft OmniPage SE 4 Nuance Communications, Inc. 26.12.2007 166,00MB 15.2.0020 unbekannt
Skype™ 5.5 Skype Technologies S.A. 17.12.2011 17,05MB 5.5.124 notwendig
Studio 9 Pinnacle Systems 9.0 unnötig
TuneUp Utilities 2009 TuneUp Software 12.01.2010 56,56MB 8.0.3310.3 unnötig
Vampirjagd unnötig
Viewpoint Media Player unbekannt
Webcam Video Viewer ArcSoft notwendig?
Windows Internet Explorer 8 Microsoft Corporation 13.01.2013 20090308.140743 eigentlich unnötig
Windows Media Format 11 runtime notwendig
Windows Media Player 11 notwendig
WinRAR Archivierer notwendig

Alt 13.01.2013, 21:30   #26
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste
    mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.01.2013, 21:37   #27
Auriana
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



# AdwCleaner v2.105 - Datei am 13/01/2013 um 21:36:40 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Ooopa - BYCDGAIWRZ1WMLC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Ooopa\Eigene Dateien\Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Ordner Gefunden : C:\Dokumente und Einstellungen\Ooopa\Anwendungsdaten\Viewpoint
Ordner Gefunden : C:\Programme\Trymedia
Ordner Gefunden : C:\Programme\Viewpoint

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.eb_explorerbar
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.eb_explorerbar.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.ipm_printlistitem
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.ipm_printlistitem.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pm_launcher
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pm_launcher.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pm_printmanager
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pm_printmanager.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pr_bindstatuscallback
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pr_bindstatuscallback.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pr_cancelbuttoneventhandler
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.pr_cancelbuttoneventhandler.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.tbtoolband
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.tbtoolband.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.useroptions
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\toolband.useroptions.1
Schlüssel Gefunden : HKLM\Software\MetaStream
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gefunden : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gefunden : HKLM\SOFTWARE\Software
Schlüssel Gefunden : HKLM\Software\Viewpoint
Schlüssel Gefunden : HKU\S-1-5-21-1935655697-688789844-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6000.17115

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [3755 octets] - [13/01/2013 21:36:40]

########## EOF - C:\AdwCleaner[R1].txt - [3815 octets] ##########

Alt 14.01.2013, 20:41   #28
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



hi

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Schließe
    alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein
    Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den
    Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x = fortlaufende Nummer)

neustarten bitte, teste, wie der PC läuft, auch alle instalierten Browser.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.01.2013, 21:22   #29
Auriana
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



PC und Browser laufen prima. Keine Probleme

Edit: Doch ein Problem gibt es, beim Abspielen von Videos stürzt der Explorer ab. Da ich momentan beim Ordnen von Fotos (und dementsprechend auch ein paar Videoclips) bin, ist das heute öfter vorgefallen. Erst kommt die Fehlermeldung:

Datenausführungsverhinderung - Microsoft Windows
Dieses Programm wurde aus Sicherheitsgründen geschlossen.
Name: Windows Explorer
Herausgeber: Microsoft Corporation

Die Datenausführungsverhinderun trägt zum Schutz vor Viren und anderen Sicherheitsangriffen bei.

Wenn ich die Meldung schließe, kommt dann keine Rückmeldung mehr vom Explorer. Dann beende ich den Prozess über den Taskmanager und nach einer Sekunde ist alles wieder normal. Zur Fehlermeldung gehört der Prozess rundll32.exe



Hier der Log vom AdwCleaner:

# AdwCleaner v2.105 - Datei am 14/01/2013 um 21:15:46 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Ooopa - BYCDGAIWRZ1WMLC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Ooopa\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Ordner Gelöscht : C:\Dokumente und Einstellungen\Ooopa\Anwendungsdaten\Viewpoint
Ordner Gelöscht : C:\Programme\Trymedia
Ordner Gelöscht : C:\Programme\Viewpoint

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.eb_explorerbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.eb_explorerbar.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.ipm_printlistitem
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.ipm_printlistitem.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pm_launcher
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pm_launcher.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pm_printmanager
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pm_printmanager.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pr_bindstatuscallback
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pr_bindstatuscallback.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pr_cancelbuttoneventhandler
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.pr_cancelbuttoneventhandler.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.tbtoolband
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.tbtoolband.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.useroptions
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\toolband.useroptions.1
Schlüssel Gelöscht : HKLM\Software\MetaStream
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gelöscht : HKLM\SOFTWARE\Software
Schlüssel Gelöscht : HKLM\Software\Viewpoint
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [3884 octets] - [13/01/2013 21:36:40]
AdwCleaner[S1].txt - [3640 octets] - [14/01/2013 21:15:46]

########## EOF - C:\AdwCleaner[S1].txt - [3700 octets] ##########

Abspielen von Videos ist falsch, er hängt sich bereits auf, wenn ich in dem Ordner zu den Videos hinscrolle (Im Ordner sind Fotos und Videos gemischt).

Oder wenn ich auf die Videodatei Rechtsklicke und mir die Eigenschaften anzeigen lassen will, kommt auch die Fehlermeldung.

Geändert von Auriana (14.01.2013 um 22:20 Uhr)

Alt 15.01.2013, 21:18   #30
markusg
/// Malware-holic
 
GVU-Trojaner mit Komplettsperrung - Standard

GVU-Trojaner mit Komplettsperrung



tritt das nur bei Videos auf oder auch bei anderen Ordnern.
tritt das Problem schon lange auf? wenn ja, evtl. zu dem Zeitpunkt was am System geändert, instalationen zb?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GVU-Trojaner mit Komplettsperrung
abgesicherte, abgesicherten, arbeitet, arten, bereits, erwischt, hoffe, laptop, laufe, laufen, modus, normale, normalen, retten, schei, sitze, sperrung, starte, starten, tan, troja, trojaner-board, usb-stick, versuche, windows, windows xp



Zum Thema GVU-Trojaner mit Komplettsperrung - Lass ihn ruhig arbeiten, und melde dich, bei Problemen bzw erfolg - GVU-Trojaner mit Komplettsperrung...
Archiv
Du betrachtest: GVU-Trojaner mit Komplettsperrung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.